NUEVA VARIANTE DE VIRUS RANSOMWARE (PAGO POR RESCATE) QUE CODIFICA FICHEROS EMPAQUETANDOLOS EN UN RAR CON PASSWORD

“Anti-child Porn Spam Protection”

Su funcionamiento es muy similar al virus de la policía. Aparece una ventana que impide hacer nada con el ordenador (en este caso el anuncio también tiene que ver con pornografía), y este también pide un dinero para desbloquearlo, aunque no son 100 €, sino bastante más. (de 500 a 1000 $ – ver imagen al final)

Hay varias diferencias entre este nuevo virus y el de la policía.

– La primera y más importante, es que parece que se basa en un ataque dirigido contra los servidores basados en Windows, hacia el puerto de escucha del Terminal Server, que a menos que se varíe, es el 3389. No parece estar dirigido contra otras máquinas.

– Según parece, atacan el puerto 3389 y si algún servidor contesta, utilizan la fuerza bruta para romper la contraseña y tener acceso a la máquina.

– El virus escanea el servidor, empaqueta los archivos de datos en formato RAR y los codifica con una clave AES de 256bits. Esto hace inútil la antigua solución que había para aquella versión del virus de la policía que también cifraba los datos, ya que está dentro del rar comprimido, que es el que está cifrado, por lo que extraerlo sin conocer la clave es, de momento, imposible.

– El mensaje que suele salir se jacta de todo esto, y pide entre 500 y 1000 $ para enviar dicha clave. Cosa que parece ser que aumenta si no se hace dicho primer pago.

El nombre de los ficheros suele ser, por ejemplo:
4B938B9752815F23_CSV_Fotos.zip(!! to decrypt email id 1192568416 to spainsec1@gmail.com !!).exe
La pantalla que suele salir, es ésta, aunque ya se ha visto alguna variante:

Fuente

NOTA:

Seguiremos informando.

saludos

ms, 12-3-2013