La evolución del ransomware dirigido a gamers centra sus ataques en usuarios de EE.UU., Alemania y España
Kaspersky Lab ha detectado un curioso comportamiento en una nueva amenaza de la familia de cryptolocker ransomware, TeslaCrypt. El troyano de esta versión 2.0, muy conocido por infectar a jugadores, muestra una página HTML en el navegador web, que es una copia exacta de CryptoWall 3.0, otro programa ransomware muy popular.
Tras la infección, el programa malicioso exige un rescate de 500 dólares por la clave del descifrado del ordenador infectado; si la víctima se retrasa, el rescate se duplica.
Las primeras muestras de TeslaCrypt se detectaron en febrero de 2015 y ganó notoriedad inmediata como una amenaza dirigida a los ordenadores de los jugadores. Intenta infectar archivos típicos de juego: perfiles de usuario, repeticiones recodificados etc. Dicho esto, TeslaCrypt no cifra los archivos que superen los 268 MB. La mayoría de las infecciones de TeslaCrypt 2.0 están en EE.UU., Alemania y España, seguido de Italia, Francia y Reino Unido.
Mecanismo de infección
Cuando TeslaCrypt infecta una nueva víctima, genera una dirección Bitcoin única para recibir el pago del rescate de la víctima y una clave secreta para retirarlo. Los servidores C&C de TeslaCrypt se encuentran en la red Tor. La versión del troyano 2.0 utiliza dos llaves: una es única dentro de un sistema infectado, la otra se genera repetidamente cada vez que el programa malicioso se relanza en el sistema. Por otra parte, la clave secreta con la que los archivos de usuario quedan cifrados no se guarda en el disco duro, lo que hace que el proceso de descifrado de los archivos de usuario sea mucho más complicado.
Los programas de TeslaCrypt se han propagado a través de exploit kits Angler, Sweet Orange y Nuclear. En virtud de este mecanismo de propagación de malware, la víctima visita un sitio web infectado y el exploit de código malicioso utiliza vulnerabilidades del navegador, más típicamente en plugins, para instalar el malware en el equipo.
"TeslaCrypt es un cazador de jugadores, está diseñado para engañar e intimidar a los usuarios. Por ejemplo, su versión anterior mostraba un mensaje a la víctima diciendo que sus archivos se cifran con el famoso algoritmo de cifrado RSA-2048 y así demostró que no había opción de pagar el rescate. En realidad, los ciberdelincuentes no utilizaron este algoritmo. En su última modificación, TeslaCrypt convencía a las víctimas que están tratando con CryptoWall - una vez que cifra los archivos de usuario, no hay manera de descifrarlo", dijo Fedor Sinitsyn, analista senior de malware de Kaspersky Lab.
Recomendaciones a los usuarios
• Crear copias de seguridad de todos los archivos importantes de forma regular. Las copias deben mantenerse sin conexión a Internet tras la copia de respaldo.
• Es de vital importancia actualizar el software en el momento oportuno, especialmente el navegador web y sus plugins.
• En caso de que un programa malicioso entre en el sistema, el peligro estará bajo control con la última versión de un producto de seguridad y con bases de datos actualizadas y módulos de seguridad activadas.
Los productos de Kaspersky Lab detectan este programa malicioso como Trojan-Ransom.Win32.Bitman.tk y protegen con éxito a los usuarios contra esta amenaza. Además, Cryptomalware Countermeasure Subsystem se implementa en las soluciones de Kaspersky Lab y registra la actividad cuando las aplicaciones sospechosas intentan abrir archivos personales de un usuario e inmediatamente realiza copias de seguridad. De esta manera, los usuarios están protegidos de cryptomalware todavía desconocido.