Peligroso Ransomware: Manamcrypt o CryptoHost

Descubren un ejemplar de ransomware camuflado en programas de descarga de torrents
http://www.silicon.es/ 18/04/2016

Se trata de Manamcrypt, también conocido como CryptoHost, que cifra documentos bajo contraseña, elimina los originales e impide que se ejecuten otros programas instalados en el sistema.

Una de las técnicas más utilizadas por los ciberdelincuentes durante los últimos tiempo es el ransomware, un tipo de malware que es capaz de secuestrar los sistemas de sus víctimas, impedir el acceso a sus archivos y pedir un rescate a cambio de su liberación.

Son varias las muestras de ransomware que se han ido propagando por los dispositivos a un lado y otro del planeta y, en ocasiones, saliéndose con la suya. Y eso que el pago del rescate no siempre garantiza el restablecimiento de la situación a cómo estaba antes del ataque. Una de los últimos descubrimientos que se ha hecho es el de Manamcrypt, también conocido como CryptoHost.

Según explican desde G DATA SecurityLabs, que es la compañía que ha descubierto Manamcrypt, se trata de un malware quem además de cifrar documentos en un archivo comprimido bajo contraseña,llega a eliminar los originales e “impide la ejecución de ciertos programas instalados en las máquinas atacadas“.

Otra particularidad reside en su forma de propagación, “camuflado junto a algunas versiones de programas de descarga de torrents, algo inusual cuando hablamos de troyanos de tipo ransomware“, continúan aclarando desde G DATA.

Como siemrpe en estos casos, se recomienda a los usuarios extremar sus precauciones a la hora de navegar por Internet. Se desaconseja realizar descargas desde sitios desconocidos y fuentes no oficiales, así como pinchar en cualquier enlace por defecto o abrir archivos adjuntos si el remitente no es de fiar. También es conveniente realizar backups con regularidad, aplicar todas las actualizaciones de software y usar soluciones antimalware.

Autor: Mónica Tilves

Read more...

El ransonware el extorsionador de personas y empresas

El ransomware es el malware favorito de los ciberdelincuentes
http://www.ticbeat.com/ 01/04/2016

Según el último barómetro de seguridad de ESET Nod32, el pasado mes de marzo ha dejado patente que el ransonware es el malware favorito por los ciberdelincuentes para extorsionar a usuarios y empresas.

Y es que, desde que apareció hace unos años, el malware que cifra la información de los internautas y exige un rescate por su recuperación, es una de las amenazas online más usadas por los ciberdelincuentes de hoy en día.

Entre los países en los que se han observado más detecciones se encuentra España, pero también otros como Japón, Reino Unido, Irlanda o Nueva Zelanda.

Entre las variantes de ransomware que se han observado en el laboratorio de ESET destaca el regreso de TeslaCrypt en la forma de email que suplanta a Correos. Tras analizarlo, se comprobó que los delincuentes habían realizado pocos cambios: la única novedad importante consistía en haber utilizado credenciales únicas para cada víctima, las cuales deben usarse para acceder al panel de control que permite realizar el pago del rescate.

Otra variante clásica que regresó con fuerza el pasado mes de marzo fue CTB-Locker, en esta ocasión orientado a cifrar archivos en servidores web para afectar así a las webs que alojan. Además, como dato curioso, esta nueva variante del ransomware permite mantener una conversación con los delincuentes mediante un chat para pedir ayuda o soporte a la hora de pagar el rescate y descifrar los ficheros.
Ni los mejores antivirus pueden con el ransomware

Pero los ransonmware más peligrosos del momento son Locky y TeslaCrypt. Usando el email como principal vector de ataque, los delincuentes utilizaron varios asuntos para tratar de engañar a sus víctimas y conseguir que ejecutaran el fichero adjunto malicioso.

Otra técnica utilizada por los delincuentes para propagar estas amenazas ha sido la utilización de publicidad maliciosa en sitios web populares con muchas visitas. Los delincuentes consiguieron colocar anuncios maliciosos gracias a la compra de dominios expirados de proveedores de publicidad online legítimos.

También se ha observado cómo aparecían nuevas formas de ransomware con alguna particularidad que los diferenciaba del resto, como Petya. Este malware cifra una parte en concreto del sector de arranque del disco que se utiliza para poder ubicar todos los ficheros almacenados. De esta forma, el sistema y todos los archivos quedan inaccesibles a menos que se pague el rescate exigido por los delincuentes.

Pero Windows no es el único sistema operativo afectado por el ransomware. Además de los casos que se han analizado en otras ocasiones (y que afectaban también a dispositivos Android e incluso a algún que otro servidor Linux), este mes Mac OS ha sido el objetivo de un nuevo ransomware plenamente funcional que responde al nombre de KeRanger.

Los delincuentes detrás de esta amenaza consiguieron infectar una Transmission, conocida aplicación de descarga de ficheros por BitTorrent, y ofrecerla para su descarga durante un tiempo limitado desde la web oficial. Al ejecutar un fichero malicioso ubicado en la carpeta de instalación de Transmission, el ransomware empieza a cifrar archivos con ciertas extensiones, dejando un fichero de texto con las instrucciones a seguir para pagar el rescate en cada carpeta donde haya ficheros cifrados.

Pero no todo son malas noticias. En marzo también empezó el juicio contra uno de los grupos encargados de propagar el conocido como “Virus de la Policía”, detenidos en febrero de 2013. Aunque ahora yo no se observan tantas variantes de este tipo de ransomware, a día de hoy aún siguen existiendo amenazas de este tipo, especialmente dirigidas a dispositivos móviles con sistema Android.

Autor: Ana Muñoz

Read more...

ESET: Recomendaciones para que evites un secuestro virtual de información

¿Cómo protegerse contra el secuestro de información?

http://www.addictware.com.mx/ 22/07/2015

El ransomware, que se emplea para secuestrar, es cada vez más popular mediante el cual se extorsiona a las empresas y usuarios. Se recomienda actuar en los sistemas y evitar el pago por rescate.

ESET da algunas recomendaciones sobre las principales medidas que todo usuario de la tecnología debe tener en cuenta para evitar ser víctima del ransomware o secuestro virtual de información, técnica que cada vez es más utilizada para extraer dinero de sus víctimas:

1. Hacerbackup periódico de los datos: De esta manera no representará un problema perder el documento o la información secuestrada. Por ejemplo, el ransomware Cryptolocker - que es una amenaza particular- también cifra archivos en unidades asignadas, como son los discos externos como las memorias USB, los espacios de almacenamiento en la red o en la Nube para los que haya una letra de unidad asignada. Se recomienda realizar el respaldo de manera periódica en un disco externo o servicio de backup, que no tenga asignada ninguna letra de unidad o que se pueda desconectar mientras no se hace el backup.

2. Mostrar las extensiones ocultas de los archivos: es común que Cryptolocker, se presente en un archivo con doble extensión, por ejemplo “.PDF.EXE”. Al desactivarse la función para ocultar las extensiones de los tipos de archivos, es más sencillo detectar los sospechosos.

3. Filtrar los archivos .EXE del correo electrónico: Si el sistema cuenta con una herramienta que filtra adjuntos por extensión, es útil configurarlo para rechazar los correos que tengan archivos “.EXE” o doble extensión.

5. Usar el Kit para la prevención de Cryptolocker: es una herramienta que automatiza la creación de una Política de Grupo para deshabilitar los archivos que se ejecutan desde las carpetas App Data y Local App Data. También deshabilita los ejecutables que se abren desde el directorio Temp de diversas utilidades para comprimir archivos.

6. Deshabilitar RDP: Cryptolocker/Filecoder accede a las máquinas a través del Protocolo de escritorio remoto (RDP), una utilidad de Windows que permite a terceros tener acceso al equipo de escritorio en forma remota. Si no se necesita usar el protocolo RDP, es sugiere deshabilitarlo para proteger la máquina de Filecoder y otros exploits RDP.

7. Mantener los software del equipo siempre actualizados: actualizar el software con frecuencia, reduce la posibilidad de ser una víctima del ransomware y de otro tipo de amenazas.

8. Usar un paquete de seguridad confiable: se recomienda tener un software antimalware y unfirewall que ayude a identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes para evadir la detección, de manera que es importante tener capas de protección.

9. Desconectar el Wi-Fi o quitar el cable de red de inmediato: al ejecutarse un archivo que podría ser un ransomware, si aún no apareció en la pantalla característica de rescate en el equipo, se puede detener la comunicación con el servidor C&C antes de que termine de cifrar los archivos desconectando el equipo de la red.

10. Usar la función de restaurar sistema para volver a un estado sin infecciones: Si la funcionalidad “restaurar sistema” está habilitada en el equipo con Windows, es posible volver a un estado sin infecciones. Las últimas versiones de Cryptolocker pueden incluir la capacidad de borrar archivos de respaldo de la restauración, es decir que ya no estarán allí cuando se intente este procedimiento.

De acuerdo con Pablo Ramos, Jefe del Laboratorio de ESET Latinoamérica, el pago del rescate no le garantiza a la víctima poder recuperar su información, por lo que los usuarios deben entender que se trata de una extorsión. Mientras que al acceder a pagar, se fomenta la conducta criminal.

Autor: Martha E.Gómez Cruz

Read more...

Elimina facilmente el virus Ransomware de tu Android

Cómo eliminar ransomware que infecta a miles de dispositivos Android
http://googlelizados.com/ 02/07/2014

El mundo de Android es dulce pero también amargo, pues es el sistema operativo más atacado por piezas de malware, y una de esas piezas es ransomware, que sin duda es un malware de mucho peligro. Afortunadamente Avast ha publicado una nueva app para erradicar dicho malware de vuestros equipos infectados.

Ransomware

Es un software de PC que secuestra y cifra los archivos del usuario para posteriormente pedir un rescate. Sin embargo ha conseguido infectar a los dispositivos móviles, principalmente a Android.

Afortunadamente Avast, ha desarrollado una herramienta diseñada exclusivamente para eliminar los ransomware que afectan en los últimos meses a Android. A continuación desglosare los pasos para recuperar nuestros datos.
¿Cómo recuperar nuestros datos con Avast?

Debemos ir a Google Play desde el ordenador y descargar Avast Ransomware Removal, posteriormente debemos seguir los siguientes pasos:

• Pulsamos sobre el botón de instalar y esperamos a que la aplicación se instale en nuestro dispositivo.
• En la barra de notificaciones pulsaremos sobre la aplicación para que se ejecute.
• La aplicación empezará automáticamente a funcionar. Analizará nuestro dispositivo y lo desinfectará.
• Una vez recuperado el control sobre el dispositivo debemos desinstalarla de nuestro smartphone para poder volver a realizar este proceso en caso necesario.

Hecho lo anterior, se eliminará por completo el ransomware de nuestro dispositivo e incluso, según afirma Avast, descifrará los archivos y volverá a dejarlos en su forma original de forma gratuita para que los usuarios puedan volver a acceder a ellos sin problemas.

A continuación el vídeo creado por Avast, donde explica los daños que puede causar este malware.

Publicado por: KRAKER

Read more...

CUIDADO, utilizan software para secuestrar información y extorsionar a las victimas

ESET: Aumentan casos de secuestro de información
http://tecnolife.larepublica.net/ 26/09/2013
Utilizar software malicioso para robar información y extorsionar a sus víctimas, es una de las actividades que ha visto un crecimiento importante durante los últimos meses. Esta técnica conocida como "ransomware", es una de las principales amenazas detectadas recientemente por ESET Latinoamérica.

La firma de seguridad advierte de la presencia de varios archivos relacionados con este tipo de ataques, entre ellos Win32/Filecoder y Win32/Gpcode.

En el caso del Win32/Filecoder, el número de detecciones semanales se ha triplicado desde julio, siendo Rusia el país más afectado, aunque se han detectado campañas de propagación en muchas otras partes del mundo.

Las técnicas de infección varían y pueden ir desde enlaces a sitios maliciosos, archivos adjuntos en correos electrónicos o hasta el uso de otros troyanos.

Estos ataques se caracterizan por el cifrado de archivos de la víctima, como fotos, documentos o música. Posteriormente los criminales piden un pago para liberarlos, incluso haciendo el cobro utilizando la moneda virtual Bitcoin.

ESET aconseja a los usuarios proteger la configuración del software de seguridad de sus equipos con una contraseña, esto para evitar que un atacante pueda alterar los parámetros de protección, además de mantener un respaldo (backup) actualizado.

Autor: José Barquero, jbarquero@larepublica.net

Read more...

CUIDADO: SECUESTRAN ARCHIVOS Y PIDEN PAGOS POR LIBERACION

Alertan de un ransomware que utiliza PowerShell para “secuestrar” archivos
http://www.cwv.com.ve/ 07/03/2013Sophos alerta de la aparición de un ransomware que secuestra archivos utilizando PowerShell. Una vez que los archivos han sido encriptados, éstos son retenidos por los atacantes, los cuales exigen un pago para liberarlos.

Investigadores de Sophos han descubierto un ransomware que utiliza Windows PowerShell para secuestrar archivos del ordenador de la víctima. Una vez que los archivos han sido encriptados, éstos son retenidos por los atacantes, los cuales exigen un pago a las víctimas si quieren volver a disponer de su documentación.

PowerShell es una interfaz de consola (CLI) con posibilidad de escritura y conjunción de comandos por medio de guiones (scripts) que se encuentra en Windows 7 y en otras versiones. Tradicionalmente se utiliza por los administradores para automatizar tareas de Windows.

Según Sophos, estos ataques se han dirigido a usuarios rusos. En cuanto a cómo se produce, la firma de seguridad destaca que los usuarios reciben un mensaje de correo electrónico no deseado con dos scripts maliciosos. El primero de ellos comprueba si el equipo tiene instalado PowerShell. Si no está instalado éste se descarga una copia de una cuenta Dropbox y lo instala. El segundo de los script comienza con la encriptación de los archivos (se secuestra cualquier archivo que contenga información potencialmente valiosa, ya sean documentos, imágenes, vídeos, etc…).

Una vez que los archivos están encriptados aparece un mensaje en la pantalla en la que se informa a la víctima que sus archivos han sido encriptados y que necesitan introducir un código para desbloquearlos. Para obtener ese código tienen que pagar 10.000 rublos (unos 360 euros).

Los investigadores de Sophos aseguran que los archivos pueden ser decodificados sin necesidad de pagar el rescate utilizando la misma aplicación que cifró los archivos, PowerShell.

IDG.es

Read more...