Colombia, México, Argentina y Brasil, víctimas de un secuestrador de Bitcoins
Se ha descubierto un ransomware que secuestra Bitcoins de los usuarios a través de un mail malicioso y pide un rescate para devolver los datos capturados.
La firma de seguridad ESET Latinoamérica ha descubierto que una banda de ciberdelincuentes se dedica a secuestrar Bitcoins en Colombia, México, Argentina y Brasil para luego pedir un rescate por ello, en una práctica que se conoce como ransomware, a través de un portal alojado en la Deep Web. El ransomware es conocido como FileCoder.
La forma en que se propaga este virus es a través de un correo electrónico que llega a los usuarios con un archivo adjunto, que simular ser una imagen. Sin embargo, si el usuario abre este archivo, lo que haría sería descargar una amenaza que lo conecta con una URL que descarga una segunda amenaza.
Según el blog de ESET para América Latina, “una vez que ejecuta esta amenaza, recupera información del sistema para luego crear una clave RSA2 (2048 bits) para cifrar los documentos del usuario.
Este proceso que se lanza en el sistema como temp32.exe, modifica la configuración del sistema y lanza 4 procesos diferentes, uno de los cuáles, que se ejecuta bajo el nombre svhost.exe, que se encarga de cifrar la información para que el usuario ya no pueda acceder a sus archivos, documentos e imágenes”.
Con el fin de ganar dinero, los cibercriminales muestran el pedido del rescate al usuario, dejando las instrucciones sobre cómo debe hacer la víctima para recuperar sus archivos. Cuando el malware finaliza el cifrado de los datos, abre un navegador y le muestra a la víctima un sitio alojado en la Deep Web, con los pasos a seguir para pagar una suma en BitCoins si es que quiere recuperar su información.