Surprise, el ransomware que se instala a través de TeamViewer

Surprise, el ransomware que se instala a través de TeamViewer y añade ‘.surprise’ a la extension de los ficheros cifrados.

Surprise

Surprise, nombre que ha recibido este ransomware por la extensión que añade a todos los archivos infectados, es un nuevo ransomware detectado por primera vez el día 10 de marzo por unas pocas firmas antivirus, desarrollado a partir del proyecto libre EDA2, un ransomware de código abierto que se publicó con fines educativos pero que, como ocurre siempre, está siendo utilizado para hacer el mal.

Este ransomware ha llegado, como su nombre indica, por sorpresa a todos los usuarios. Las víctimas del mismo se han encontrado con que, de repente, de un día para otro todos sus ficheros habían sido codificados añadiendo la extensión “.surprise” en todas las fotos, documentos y archivos personales del sistema. Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint.

Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.

Para recuperar los archivos, el pirata informático pide un pago de 0.5 Bitcoin, unos 175 euros, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.

No se sabe cómo el pirata informático logró conectarse a los servidores TeamViewer para distribuir Surprise.

Tal como recomienda directamente TeamViewer, si queremos evitar cualquier sorpresa, es recomendable proteger las sesiones de TeamViewer con una contraseña compleja, activar la doble autenticación, mantener el servidor actualizado a la última versión (y descargado siempre de la web oficial) y, por último, asegurarnos de que el ataque informático no viene por ninguna otra rama (por ejemplo, otro malware instalado en el sistema).

Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.

También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos, especialmente cuando los últimos pings contra el servidor C&C no han devuelto respuesta.

Emails spam adjuntando JavaScript

Microsoft ha publicado una advertencia de mensajes de spam contenían un archivo adjunto JavaScript.

Además de utilizar los archivos JavaScript, los ciberdelincuentes usan documentos de Office con macros maliciosas para difundir ransomware.

Recientemente hemos observado que las campañas de spam están utilizando archivos adjuntos de JavaScript, aparte de los archivos de Office. El propósito del código es sencillo. Descarga y ejecuta otros programas maliciosos.

Virus en mensaje de vídeo en Facebook

Si ves este mensaje de vídeo en Facebook no lo abras, es un virus.

Virus en mensaje de vídeo en Facebook

La semana pasada se daba a conocer un informe publicado por The Information donde se podía ver como la red social Facebook había pasado de ser un sitio donde la gran mayoría de la gente compartía sus vidas a ser un lugar donde la mayoría de las publicaciones contienen vídeos, publicidad o enlaces externos.

Sólo hace falta abrir Facebook para comprobar que la gran mayoría de publicaciones son vídeos. Una práctica que parece haber sido aprovechada por los creadores de un malware que se propaga por la red social disfrazado de un mensaje de vídeo de Facebook.

Sin embargo, esta publicación, lejos de ser uno de tantos de esos vídeos que reproducimos en la red social cada día, es un nuevo malware que aparece en nuestra página de publicaciones de Facebook como un mensaje de vídeo más, en el que incluso podemos estar etiquetados, o como un mensaje que alguno de nuestros amigos de la red nos ha enviado a través de Facebook Messenger.

Al hacer clic en el enlace del vídeo, se muestra un mensaje que indica la necesidad del usuario de tener instalado un plugin para poder reproducirlo que lo que hará es instalar el software malicioso y que afectará a nuestro muro de Facebook. Una vez que hayamos sido infectados, nuestros muros comenzarán a ser invadidos por gran cantidad de mensajes de vídeo falsos en los que además irán etiquetados nuestros amigos.

Este malware, que ha sido detectado por la empresa de seguridad ESET, dispone de la capacidad de añadirnos nuevos amigos, crear nuevas páginas de Facebook, compartir, editar u ocultar algunos mensajes, etc. Algo que según ESET de momento no está activo pero no pueden garantizar que no lo esté próximamente.

Según ha confirmado la empresa de seguridad, de momento este malware sólo afecta a los usuarios que utilicen el navegador Chrome para gestionar su perfil de Facebook, pero nuevamente indican que no hay ninguna garantía de que esto no se pueda propagar a otros navegadores. ESET ya ha sido capaz de detectar esta amenaza en más de 10.000 usuarios durante la semana pasada y se entiende que sigue expandiéndose por todo el mundo.

Para detectar este tipo de publicaciones de vídeos con malware inyectado, es conveniente fijarse bien en el título de la publicación, puesto que según informan desde ESET, suele llevar el título de Mi primer vídeo, Mi vídeo, Vídeo privado o una cadena de caracteres generados al azar. Por lo tanto, si vemos uno de estos vídeos en nuestra página de publicaciones será mejor que no tratemos de abrirlo.

Fuente: ADSLZone