Ransomware (pago por rescate) para “Activar Windows” con operadores telefónicos fraudulentos
Presentamos en esta ocasión un ransomware peculiar, que juega con la
idea de la activación de Windows para estafar a los usuarios infectados.
Bloquea el sistema con la excusa de la activación. Lo novedoso es que,
en vez de pedir los datos de tarjeta o un pago a una cuenta para
devolver el control del sistema, obliga a llamar a unos números de
teléfono especiales para recibir un código… que no lo desactiva del
todo.
La funcionalidad básica del malware (anunciado por F-Secure) es residir
en el sistema y bloquear el escritorio cuando se inicia sesión. Muestra
una pantalla que simula ser la de activación tradicional de Windows,
detectando el idioma de la conexión. Invita a llamar a una serie de
números de teléfono:
002392216368
002392216469
004525970180
00261221000181
00261221000183
00881935211841
Dice que son gratuitos, pero no es así. Los números pertenecen a
operadores fraudulentos y llevan a países con tarifas muy caras, pero
los operadores la redirigen en realidad a países más baratos. Cobran el
precio de la llamada cara, y se quedan con la diferencia. Lo interesante
es que, además de la programación del troyano, es necesario que haya
detrás operadores fraudulentos para completar la estafa. Los países
a los que pertenecen los números son Santo Tomé y Príncipe (239),
Dinamarca (45), Madagascar (261) y “Globalstar Mobile Satellite Service”
(8819).
Hemos realizado la prueba y al menos desde el laboratorio, parece que
algunos no funcionan, y otros simplemente no son atendidos. En cualquier
caso, según F-Secure, atiende un sistema automático que pide marcar un
código. El código devuelve un número tras unos minutos: 1351236. El
código es válido y permite efectivamente acceder al escritorio, pero
solo temporalmente. El troyano sigue residente y volverá a activarse en
el siguiente inicio de sesión. No se entiende este comportamiento puesto
que así no conseguirán más llamadas del mismo usuario (si esa era su
intención). Siempre devuelve el mismo número y el usuario infectado solo
tendrá que recordarlo. Este código también es posible conseguirlo
realizando ingeniería inversa al troyano.
El troyano llegó a Virustotal por primera vez el 10 de marzo, con el
nombre Firefox_update.exe desde Francia. En ese momento, solo era
detectado por firmas por 3 antivirus. El día 15 pasó a ser detectado por
18 motores, hasta que poco a poco (a medida que ha captado atención
mediática) ha sido detectado por 40 motores el día 11 de abril.
Invitamos al lector a visualizar el vídeo alojado en YouTube (2:21
minutos)
http://www.youtube.com/watch?v=BOWqi071k7A
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.