Ransoc chantajea víctimas con browser locker/ransomware
El malware es distribuido vía malvertising y afecta solo a usuarios Windows. Pero no cifra los archivos de la víctima, en cambio, amenaza con dañar la reputación del usuario para chantajearlo.
Una vez que se ejecuta en el ordenador de la víctima, comienza a escanear nombres de archivos multimedia en busca de cadenas asociadas a pornografía infantil y archivos descargados vía torrent, y corre multiples rutinas que tienen como objetivo obtener información de las cuentas de Facebook, LinkedIn y Skype del sujeto.
Toda esta información es utilizada para personalizar un falso «aviso de penalidad» que es mostrado a la víctima.
El aviso amenaza con exponer las faltas de la víctima con los derechos de propiedad intelectual y su sospechosa actividad en línea si no paga la multa.
La información colectada de los perfiles de medios sociales es usada como prueba de que todos en sus círculos profesionales y sociales podrían terminar escuchando acerca de ello si la víctima no paga. Como una tentación añadida, el mensaje dice que el dinero que pague la víctima les será devuelto si no son atrapados de nuevo en los próximos 180 días.
Otra cosa muy inusual acerca de Ransoc es que supone que el pago de la multa sería efectuado a través de tarjeta de crédito.
“Este enfoque bastante audaz para pagar rescates sugiere que los autores de la amenaza están completamente confiados en que la gente que paga el rescate tiene suficientes cosas que ocultar, por lo que no buscaría ayuda de las autoridades,” notaron los investigadores de Proofpoint.
“De hecho, mientras Ransoc pueda verse motivado por el vigilantismo contra criminales genuinos, los motivos parecen menos altruistas, ya que los atacantes se dirigen a usuarios que probablemente no informarán a las autoridades y aumentarán así la probabilidad de pago.»
Como deshacerse de Ransoc sin pagar
El falso «aviso de penalización» aparece en una ventana en pantalla completa que evita que las víctimas puedan cerrar la ventana del navegador o accedan al sistema operativo.
“Ransoc detiene el proceso cada 100 milisegundos en regedit, msconfig y el taskmgr, matando los procesos antes de que la víctima tenga oportunidad de eliminar o deshabilitar el malware,” compartieron los investigadores.
Pero el malware solo usa una llave de registro de autorranque para asegurar persistencia, por lo que reiniciando la máquina en modo seguro debe permitir a los usuarios eliminar el malware, notaron los investigadores.
“Los autores del ransomware están tratando de encontrar nuevas maneras para hacer sus ataques más convincentes y para aumentar las probabilidades de que el usuario atacado pague el rescate». La variante de Ransoc está empujando los límites para ir más allá del cifrado de un archivo estándar para incorporar técnicas de ingeniería social y apuntar a información personal sensible”, comentó Thomas Fischer para Help Net Security, investigador de amenazas y abogado de seguridad en Digital Guardian.
Fuente: Seguridad.unam.mx