Warning: Declaration of WarpMenuWalker::start_lvl(&$output, $depth) should be compatible with Walker_Nav_Menu::start_lvl(&$output, $depth = 0, $args = Array) in /homepages/10/d344598464/htdocs/subdominis/website/wp-content/themes/yoo_sync_wp/warp/systems/wordpress/helpers/system.php on line 676

Warning: Declaration of WarpMenuWalker::end_lvl(&$output, $depth) should be compatible with Walker_Nav_Menu::end_lvl(&$output, $depth = 0, $args = Array) in /homepages/10/d344598464/htdocs/subdominis/website/wp-content/themes/yoo_sync_wp/warp/systems/wordpress/helpers/system.php on line 676

Warning: Declaration of WarpMenuWalker::start_el(&$output, $item, $depth, $args) should be compatible with Walker_Nav_Menu::start_el(&$output, $item, $depth = 0, $args = Array, $id = 0) in /homepages/10/d344598464/htdocs/subdominis/website/wp-content/themes/yoo_sync_wp/warp/systems/wordpress/helpers/system.php on line 676

Warning: Declaration of WarpMenuWalker::end_el(&$output, $item, $depth) should be compatible with Walker_Nav_Menu::end_el(&$output, $item, $depth = 0, $args = Array) in /homepages/10/d344598464/htdocs/subdominis/website/wp-content/themes/yoo_sync_wp/warp/systems/wordpress/helpers/system.php on line 676

Warning: Parameter 1 to wp_default_scripts() expected to be a reference, value given in /homepages/10/d344598464/htdocs/subdominis/website/wp-includes/plugin.php on line 579

Warning: Parameter 1 to wp_default_styles() expected to be a reference, value given in /homepages/10/d344598464/htdocs/subdominis/website/wp-includes/plugin.php on line 579

Warning: Cannot modify header information - headers already sent by (output started at /homepages/10/d344598464/htdocs/subdominis/website/wp-content/themes/yoo_sync_wp/warp/systems/wordpress/helpers/system.php:676) in /homepages/10/d344598464/htdocs/subdominis/website/wp-content/plugins/ylsy_permalink_redirect.php on line 422
» Cronología del “Virus de la Policía”

Cronología del “Virus de la Policía”

Escrito por Maverick el . Posteado en Informatica

El “Virus de la Policía” también conocido como “Virus Ukash” se ha convertido una de las plagas más insidiosas de los últimos tiempos. Cientos de usuarios en España, Europa y Latinoamérica, han visto cómo su ordenador se bloqueaba nada más iniciarlo y muestra un mensaje que parece provenir del Cuerpo Nacional de Policía, que con la excusa de haberse producido accesos a páginas que contienen pornografía infantil solicita cierta cantidad de dinero para desbloquearlo.

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Al parecer, hay gente que incluso los ha pagado: “Pagan una multa policial falsa por ver porno en sus ordenadores”

El éxito de este ransomware se basa en:

Una difusión profesional. Están aprovechando vulnerabilidades muy recientes (enero) en software popular (Java) y difundiéndolo en páginas muy visitadas (webs de descarga directa de material multimedia). Esto está resultando en una difusión masiva del malware puesto que los usuarios se infectan aparentemente sin haber ejecutado directamente ningún fichero.

Un malware “simple” y efectivo. El malware en sí no es “sofisticado” en los términos que manejamos hoy en día (con SpyEye y Zeus como referencia). Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente enrevesada. Esto ayuda a que, unido a una detección pobre por firmas, los antivirus no lo detecten tampoco por la heurística de un comportamiento sospechoso.

La ingeniería social. Amenazar al usuario con actividades que realizan comúnmente (descarga de material multimedia, por ejemplo), ayuda a dar credibilidad a la estafa. En algunos foros “underground” hemos observado que el creador se jacta de conseguir que aproximadamente un 1% de los infectados termine pagando. Con el nivel de infección conseguido en toda Europa, podemos imaginar lo lucrativo de la estafa.

Eludir antivirus. Las muestras recién llegadas a VirusTotal suelen ser poco detectadas. Están trabajando en eludir las firmas de forma notable, consiguiendo que las muestras “frescas” pasen muy desapercibidas.

Cronología del “Virus de la Policía”

Marzo 2011: Aparecen las primeras muestras de la “Policía Alemana” reportadas por Kaspersky Labs como Trojan.Ransom

Junio 2011: Se extiende a otros países de Europa (Italia, Gran Bretaña, Francia) incluido España en donde el sitio web oficial de ese país “Policía.es” emite una advertencia a los usuarios.

Agosto 2011: El GDT de “La Guardia Civil Española” emite un comunicado advirtiendo a los internautas sobre esta estafa, aunque en ese momento creían que solamente se trataba de un “listillo” que se aprovechaba de los usuarios Españoles únicamente.

Octubre 2011: Aparecen nuevas versiones que son mucho más sofisticadas. No incluyen la imagen en su interior, sino que la descargan desde un servidor según la dirección IP de origen del infectado. El sistema pasa también a formar parte de una pequeña botnet que permite ser eliminada en remoto por el propio atacante, según le convenga.

Octubre 2011: El primer caso Latinoamericano de la “Policía Federal Argentina” donde a diferencia con Europa que pide $150 o $100 Euros de multa, este pide únicamente $50 pesos Argentinos.

Enero 2012: Los foros se inundan de usuarios infectados con nuevas y diferentes variantes. El sitio web de la Policía Española vuelve a emitir otro comunicado: Nueva oleada de ransomware a nombre de la policía.

Febrero 2012: Aparece una nueva variante, que se aleja del resto en estética, pero con igual funcionalidad y temática: supuesto bloqueo del ordenador por orden de la policía. Tiene la particularidad de renombrar la rama del registro de Windows que se encarga de permitir el arranque del PC en modo seguro (F8). A su vez, la versión “mainstream” del troyano comienza a utilizar diferentes ramas del registro para lanzarse en el inicio del sistema operativo y bloquearlo

Febrero 2012: Microsoft reporta la variante Trojan:Win32/Ransirac.G que si bien no utiliza el gancho de la policía, lo hace con GEMA, la sociedad de gestión colectiva de autores y compositores alemana.

Marzo 2012: Hispasec publica un Documento técnico: Estudio del “troyano de la policía” [PDF]

Marzo 2012: El malware comienza a usar una vulnerabilidad en Java muy reciente para distribuirse. Los usuarios con un Java no parcheado desde final de enero son vulnerables con solo visitar con cualquier navegador una página web manipulada. Normalmente se esconden en publicidades de páginas web de descarga de material multimedia.

Abril 2012: El virus continúa su evolución técnica. Cambia de estrategia y no usa imágenes, sino HTLM. También hay variantes que usan características poco conocidas de Windows para bloquearlo. Por último, comienza a destruir por completo el arranque en modo seguro, único “salvavidas” de muchos usuarios, que se ven incapaces de eliminar el malware si no es con otros métodos de recuperación más sofisticados.

Via: InfoSpyware

Share

Etiquetas:

Deja un comentario

SXInformatica
C/Soria 5 25200 Cervera
973 534 445
info@sxinformatica.net

PCmode
www.pcmode.net
635 824 172
ventas@pcmode.net
SEO Powered by Platinum SEO from Techblissonline