El ransomware popularmente conocido como el
Virus de la Policía se ha convertido una de las plagas más insidiosas de los últimos tiempos. Se trata de una extensa familia de
malwares secuestradores específicamente diseñados para tratar de extorsionar el pago de sus víctimas mediante el bloqueo de los PCs infectados, mostrando un mensaje falso haciéndose pasar por una agencia policial legítima.
El éxito del Virus de la Policía se basa en:
Una difusión profesional. Están aprovechando vulnerabilidades muy recientes en software popular Java y difundiéndolo en páginas muy visitadas (webs de descarga directa de material multimedia). Esto está resultando en una difusión masiva del malware puesto que los usuarios se infectan aparentemente sin haber ejecutado directamente ningún archivo.
Un malware “simple” y efectivo. El malware en sí no es “sofisticado” en los términos que manejamos hoy en día (con SpyEye y Zeus como referencia). Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente enrevesada. Esto ayuda a que, unido a una detección pobre por firmas, los antivirus no lo detecten tampoco por la heurística de un comportamiento sospechoso.
La ingeniería social. Amenazar al usuario con actividades que realizan comúnmente (descarga de material multimedia, por ejemplo), ayuda a dar credibilidad a la estafa.
Diseño e idioma a medida. Cada variante esta específicamente diseñada para mostrar imágenes actuales de las autoridades y presidentes de cada país, al igual que mostrarse en el idioma de la víctima.
.
Cronología del “Virus de la Policía”
Marzo 2011: Aparecen
las primeras muestras de la “Policía Alemana” reportadas por Kaspersky Labs como Trojan.Ransom
Junio 2011: Se reporta en nuestros foros
el primer usuario infectado que nos comenta que hasta acudió a la policía y si bien le comentaron que era una estafa, no podían ayudarlo a reparar su PC. (el usuario nos deja la primer captura de pantalla)
Agosto 2011: El GDT de
“La Guardia Civil Española” emite un comunicado advirtiendo a los internautas sobre esta estafa, aunque en ese momento creían que solamente se trataba de un “listillo” que se aprovechaba de los usuarios Españoles únicamente.
Septiembre 2011: En
@InfoSpyware desarrollamos y publicamos la primera versión beta de
“PoliFix” nuestra principal herramienta gratuita para combatir este ransomware de forma automática la cual mantenemos continuamente actualizada.
Octubre 2011: Aparecen nuevas versiones que son mucho más sofisticadas. No incluyen la imagen en su interior, sino que la descargan desde un servidor según la dirección
IP de origen del infectado. El sistema pasa también a formar parte de una pequeña
botnet que permite ser eliminada en remoto por el propio atacante, según le convenga.
.
.
Febrero 2012: Aparece
una nueva variante, que se aleja del resto en estética, pero con igual funcionalidad y temática: supuesto bloqueo del ordenador por orden de la policía. Tiene la particularidad de renombrar la rama del registro de Windows que se encarga de permitir el arranque del PC en
modo seguro (F8). A su vez, la versión
“mainstream” del troyano comienza a utilizar diferentes ramas del registro para lanzarse en el inicio del sistema operativo y bloquearlo
Febrero 2012: Microsoft reporta la variante
Trojan:Win32/Ransirac.G que si bien no utiliza el gancho de la policía, lo hace con
GEMA, la sociedad de gestión colectiva de autores y compositores alemana.
Marzo 2012: El malware comienza a usar una
vulnerabilidad en Java muy reciente para distribuirse.
Los usuarios con un Java no parcheado desde final de enero son vulnerables con solo visitar con cualquier navegador una página web manipulada. Normalmente se esconden en publicidades de páginas web de descarga de material multimedia.
Abril 2012: Nueva variante
Trojan Koeserg la cual cifra todos los archivos .doc, xls, .dbf, pdf, txt, jpg png, gif, con una clave de 1024 bits con extensión
.EnCiPhErEd, generando a su vez un archivo llamado HOW TO DECRYPT FLIES.TXT que contiene la extorción de $50. Para desncriptar esta variante utilizar la herramienta de Dr.Web
te94decrypt.exe
Abril 2012: El virus continúa su evolución técnica. Cambia de estrategia
y no usa imágenes, sino HTLM. También hay variantes que usan características poco conocidas de Windows para bloquearlo. Por último,
comienza a destruir por completo el arranque en modo seguro, único “salvavidas” de muchos usuarios, que se ven incapaces de eliminar el malware si no es con otros métodos de recuperación más sofisticados.
Mayo 2012: El día 5 nos llega la primer variante del nuevo
Ransom.Win32.Rannoh que encripta los archivos del equipo infectado añadiendo la palabra
“locked-” antes del nombre del archivo y 4 caracteres aleatorios después de la extensión original del archivo, que los convierten en archivos inutilizables.
Kaspersky Labs libera la utilidad gratuita llamada:
RannohDecryptor con la cual podemos desencriptar los archivos.
Junio 2012: Recibimos y
analizamos en @InfoSpyware las primeras variantes del
“virus de la policía” que
enciende la webcam para grabar a sus víctimas. En realidad esta variante lo que hace es simplemente prender la cámara web de la víctima, pero
no graba ni envía imágenesa ninguna autoridad real ni sito web alguno… simplemente es un efecto más parte del fraude para que se vea más real, al igual que incorporar logos de autoridades como en este caso la versión en español incorpora el de la
OSI (Oficina de Seguridad del Internauta).
Ver imagen.
Agosto 2012: El
FBI emite una alerta sobre una variante de ‘Reveton’ que utiliza la imagen de las autoridades estadounidenses que según el Centro de Quejas de Crímenes en Internet (IC3) los usuarios lo estaban
“inundando con quejas” sobre este ataque scareware que pide $ 200 dólares a sus víctimas para liberar el equipo y como lo habíamos reportado en
@InfoSpywarehace un par de meses atrás, también intenta hacer creer a su víctima que está enviando las imágenes de su webcam a las autoridades.
Ver imagen.
Agosto 2012: PoliFix versión 2.0.5 es actualizada para hacerle frente a las ultimas variantes reportadas y por primera vez en esta versión se incorpora una nueva funcionabilidad
“Poli Heurística” desarrollada para atrapar las nuevas variantes aun desconocidas incluso antes de incorporarlas manualmente a la base de datos…
Diciembre 2012: TrendMicro descubre y reporta la primera variante denominada
TROJ_REVETON.HM, la cual aparte de mostrar una advertencia del departamento de estado dependiendo del país, incorpora un nuevo sistema de audio a la advertencia que también es reproducida en el leguaje correspondiente a la pc de la víctima.
Diciembre 2012: Surge una nueva variante que por sus características en @InfoSpyware denominamos
“Ransom.Block” infectando principalmente a usuarios en España, la cual se encarga de encriptar (cifrar/bloquear) todos los archivos personales del PC victima (.doc, .txt, jpg, xls,) con el algoritmo de cifrado AES-256, lo cual si no se cuenta con los archivos llave
Initia1Log.txt.block y
ok.txt.block, se hacen imposibles de recuperar. Les recomendamos la:
Guía de cómo eliminar el Ransom.Block con DeBlock
Enero 2013: Comienzan a surgir las nuevas variantes del Ransomware de la Policía para este 2013, con
nuevos diseños de sus imágenes, donde incorporan grabación de audio y video de la victima y nuevas supuestas razones del bloqueo de su ordenador como: Violación a derechos de autor, Posesión de material pornográfico, Actividades terroristas, Difusión de malware, Juegos de Azar, Envíos de Spam.
Abril 2013: Ransomware usa historial del navegador para obligar a usuarios a pagar. Una nueva variante (Kovter) utiliza un enfoque totalmente nuevo para convencer a las víctimas de la legitimidad de su solicitud mostrándoles en la advertencia datos de sitios webs que la victima haya visitando en algún momento, obtenidos del historial web de su navegador.
Abril 2013: Sophos reporta una nueva variante de
Reveton que incluye imágenes de pedofiliaque se muestran junto con la advertencia en el bloqueo del equipo la cual principalmente estuvo afectando a usuarios de Alemania.
Mayo 2013: Microsoft reporta una variante del
ransomware Reveton que incorpora un nuevo módulo (Keylogger), el cual genera logs que guardan las pulsaciones del teclado para robar las contraseñas de sus victimas Como no todas las infecciones que logran los cibercriminales van a dar lugar a un rescate pagado, los autores de REVETON tienen una forma adicional de obtener beneficios de una infección exitosa en caso de que la víctima se rehúse a pagar el rescate: “El robo de contraseñas”.
Agosto 2013: Crypto-Ransomwares: Si bien este tipo de mutación del ransomware al secuestrador y encriptador de archivos han estado activos desde principio de año, no fue hasta medidos del 2013 que estos comenzaron a hacerse mas notorios con las variantes:
”Anti-child Porn Spam Protection 2.0” .Crypt, .OMG, Cryptolocker, entre otras
Enero 2014: CryptorBit un ransomware que estafa con una falsa llave desencriptador que trabaja similar a: Cryptolocker, Prison Locker, Copycat y Locker que cifran sus archivos y piden cierta cantidad aleatoria para desencriptarlo
Abril 2014: Ransomware: en 2013 creció 500% a 600.000 casos,
según un informe publicado por Symantec. CryptoDefense, CryptorBit y HowDecrypt, pudieron dejar ganancias a los cibercriminales de más de u$s34.000 por mes.
Mayo 2014: Ransomware
“Police Locker” afecta a la plataforma
Android. Esta primera variante incluye imágenes e idioma para afectar a 31 países, incluidos México y España.
Junio 2014: Agencias policiales de todo el mundo, apoyados por el centro europeo de ciberdelincuencia (EC3) y Europol, se unieron en una acción coordinada encabezada por el FBI que aseguraron la interrupción de la botnet Zeus Gameover e incautación de importantes servidores del software malicioso,
conocido como CryptoLocker.
Julio 2014: Descubren el primer
Cripto-ransomware que utiliza la red Tor para ocultar sus servidores de comando y control llamado: ‘Critroni’ (Curva-Tor-Bitcoin Locker) aunque por el momento no ha tenido mucho éxito fuera de Rusia.
Agosto 2014: Investigadores de Avast, descubren una nueva variante de REVETON que aparte de bloquear el ordenador de la victima pidiendo dinero por su liberación, incluye varios módulos capaces de
robar las contraseñas y cookies del navegador para datos bancarios.
Continuara…
Recuerde seguir nuestras guías de:
.Saludos!
¿Se pueden tener dos antivirus a la vez? 
Bloqueo mutuo. Los antivirus rastrean el sistema en busca de otras aplicaciones que estén monitorizando o enviando información. Por este motivo, un antivirus que esté trabajando (enviando y monitorizando) se convertirá en un software malicioso a los ojos del otro programa antivirus instalado en el equipo, el cual intentará bloquearlo y eliminarlo. 
