Apenas han pasado unos días desde que comenzamos el año y expertos en seguridad ya han detectado la presencia en Internet de un nuevo ramsonware que está cifrando los archivos de los equipos de los usuarios, siendo por el momento irrecuperables. CryptoJoker, que así es como se conoce, afecta a equipos con sistema operativo Windows y se distribuye como si de un PDF se tratara.
Esta amenaza es relativamente nueva, ya que, tal y como sabemos, los ciberdelincuentes reaprovechan el código de otras más antiguas y así confeccionar el nuevo malware. Se ha concretado que su distribución se está realizando a través de correos electrónicos spam y utilizando avisos falsos en páginas web. No resulta para nada una novedad que los propietarios de algunas páginas recurran a ventanas emergentes o anuncios falsos en los que se informa al usuario que su equipo está afectado por un archivo malicioso para distribuir virus informáticos en lugar de una herramienta de seguridad.
En el caso de los correos electrónicos, se hace creer al usuario que el adjunto es un PDF que contiene información sobre transacciones de una cuenta de PayPal o tarjeta de crédito. De esta forma, el usuario procede a la descarga y a su ejecución sin que sea consciente de las consecuencias.
El modus operandi del ransomware es similar al de otras amenazas: se produce el cifrado de los datos de determinadas carpetas del sistema de ficheros del sistema operativo y posteriormente lanza ventanas emergentes en el escritorio para que el usuario se percate de cuál es la situación y ofrecer instrucciones para recuperar el acceso a los datos, que son cifrados haciendo uso del algoritmo AES de 256 bits.
Por el momento, los archivos afectados por CrptoJoker no se pueden recuperar
El problema para los usuarios es que la mayoría de variantes que aparecen no permiten recuperar el acceso a los archivos desde el primer momento. A pesar de los esfuerzos de las compañías de seguridad por crear herramientas que permitan esto, la velocidad de aparición de nuevos ramsonware es superior.
Los usuarios reciben instrucciones de enviar un correo electrónico a las siguientes direcciones para así negociar el pago de la cantidad y así recuperar el acceso:
- file987@sigaint.org
- file9876@openmail.cc
- file987@tutanota.com
Tal y como solemos recomendar, lo más seguro si queremos recuperar el acceso es la realización de copias de seguridad periódicas, ya que el pago de la cantidad no garantiza que se recupere el acceso a la información y lo peor de todo es que además de los archivos se perdería la cantidad de dinero abonada.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad