{"id":14146,"date":"2019-03-06T11:03:43","date_gmt":"2019-03-06T17:03:43","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=14146"},"modified":"2019-11-22T02:51:15","modified_gmt":"2019-11-22T08:51:15","slug":"gandcrab-ransomware-is-back","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/gandcrab-ransomware-is-back\/14146\/","title":{"rendered":"Vuelve el ransomware GandCrab, pero esta vez m\u00e1s rom\u00e1ntico"},"content":{"rendered":"

\u201cSecuestramos tu webcam, te encontramos viendo porno y ciframos tus datos, lo restauraremos todo a cambio de un rescate\u201d. Puede que recuerdes que el a\u00f1o pasado hubo un caso similar de chantaje<\/a> que caus\u00f3 mucho revuelo y, bueno, parece que los rumores de que el ransomware<\/a><\/em> detr\u00e1s de esta estafa ha desaparecido son un poco exagerados.<\/p>\n

El ransomware<\/em> GandCrab vuelve a estar en activo. Sus desarrolladores no dejan de lanzar nuevas versiones para no perder esa presencia<\/a> en el mercado que tanto les ha costado conseguir, un 40 % del total. Los atacantes que adquieren y propagan GandCrab tambi\u00e9n se han puesto al d\u00eda y han optado por diversas t\u00e1cticas creativas, a veces hasta rom\u00e1nticas, para infectar a las v\u00edctimas.<\/p>\n

Ransomware<\/em> para sentimentales<\/h2>\n

Los correos cuyos asuntos incluyen declaraciones de amor pueden resultar muy apetecibles, pero t\u00edtulos como \u201cMi declaraci\u00f3n de amor\u201d, \u201cMe he enamorado de ti\u201d o \u201cEstos son mis sentimientos por ti\u201d pueden originar un desastre. El problema es que cerca del d\u00eda de San Valent\u00edn, Navidad, A\u00f1o Nuevo, tu cumplea\u00f1os o un triste lunes en el trabajo, este mensaje puede que no despierte sospechas. Pero, al igual que el resto de los correos electr\u00f3nicos, este tambi\u00e9n merece una consideraci\u00f3n especial.<\/p>\n

La variante m\u00e1s com\u00fan de correo electr\u00f3nico malicioso que ronda estos d\u00edas cuenta con una frase rom\u00e1ntica en el asunto, un icono con forma de coraz\u00f3n en el cuerpo y un adjunto, un documento ZIP que se suele llamar Love_You seguido de varios d\u00edgitos. Si extraes y ejecutas el archivo JavaScript que contiene, descargar\u00e1 el ransomware<\/em> GandCrab.<\/p>\n

Entonces, te dirigir\u00e1 a una nota que te informar\u00e1 de que todos los datos de tu computadora han sido cifrados y que puedes pagar el rescate (normalmente en bitcoins) para recuperarlos. Los atacantes ponen a disposici\u00f3n de los usuarios que no est\u00e9n familiarizados con las criptomonedas una ventana de chat en vivo para ense\u00f1arte c\u00f3mo comprar la cantidad necesaria y pagar el rescate.<\/p>\n

Ransomware<\/em> para empresas<\/h2>\n

En el 2017 se lanz\u00f3 un parche que solucionaba una vulnerabilidad en una herramienta utilizada para sincronizar datos entres dos sistemas de gesti\u00f3n para empresas inform\u00e1ticas. Pero no todos instalaron el parche y los que quedaron desprotegidos son el objetivo actual de GandCrab, que cifra todas las computadoras a su alcance.<\/p>\n

Este error de seguridad permite a los ciberdelincuentes generar nuevas cuentas de administrador y, desde ah\u00ed, enviar comandos para instalar el ransomware<\/em> en los endpoint<\/em> que gestione. En otras palabras, cifran las maquinas de los clientes de la compa\u00f1\u00eda atacada y solicitan una recompensa (siempre en criptomonedas).<\/p>\n

Ransomware<\/em> para precavidos (todos)<\/h2>\n

\u00bfCu\u00e1ntos de nosotros abrir\u00eda el archivo adjunto de un correo electr\u00f3nico si dice que es un mapa actualizado de la salida de emergencia de tu trabajo? \u00bfIncluso aunque proceda de una direcci\u00f3n desconocida? Lo m\u00e1s probable es que lo abri\u00e9ramos todos. A fin de cuentas, casi nadie recuerda el nombre de los responsables de seguridad.<\/p>\n

Los atacantes comenzaron a aprovecharse de esta oportunidad<\/a> y enviaron correos maliciosos con un archivo Word adjunto. Quienes descargaron el documento solo vieron el t\u00edtulo (Mapa de salida de emergencia) y el bot\u00f3n para habilitar el contenido. Al hacer clic, instalaron el ransomware<\/em> GandCrab.<\/p>\n

Ransomware<\/em> para pagadores<\/h2>\n

Otra t\u00e1ctica utiliza un correo electr\u00f3nico para simular<\/a> una factura o una confirmaci\u00f3n de pago disponible para su descarga desde WeTransfer. El enlace normalmente dirige a un documento ZIP o RAR con contrase\u00f1a. Te haces una idea de lo que hay dentro del archivo, \u00bfverdad?<\/p>\n

Ransomware<\/em> para italianos<\/h2>\n

Otra variante puede utilizar una \u201csolicitud de pago\u201d en forma de un archivo adjunto en Excel. Si intentas abrirlo, una ventana te advertir\u00e1 de que no puedes previsualizarlo online<\/em> y te sugerir\u00e1 que hagas clic en Habilitar edici\u00f3n<\/em> y Habilitar contenido<\/em>.<\/p>\n

Lo curioso es que este ataque en espec\u00edfico solo se lleva a cabo en Italia (al menos por el momento). Si haces clic en los botones requeridos, activar\u00e1s un script<\/em> que comprobar\u00e1 si tu computadora est\u00e1 en Italia, bas\u00e1ndose en el lenguaje administrativo del sistema operativo.<\/p>\n

Si no est\u00e1s en Italia, no pasa nada, pero si s\u00ed, te enfrentas al sentido del humor del atacante representado por la imagen de Super Mario Bros.<\/p>\n

\"\"

Esta imagen de Mario contiene c\u00f3digo malicioso que descarga malware<\/p><\/div>\n

La imagen, descargada cuando haces clic para ver el contenido del archivo, contiene c\u00f3digo PowerShell malicioso y comienza a descargar malware<\/em>. De momento los investigadores desconocen cu\u00e1l en concreto: GandCrab<\/a>, que cifra tus datos, o Ursnif<\/a>, que roba<\/a> tus datos bancarios y de cuentas online<\/em>. Sinceramente, carece de importancia, lo importante es el m\u00e9todo de entrega del malware<\/em>, aunque esto tambi\u00e9n evoluciona continuamente.<\/p>\n

C\u00f3mo mantenerte a salvo<\/strong><\/p>\n

Son muchos los que distribuyen GandCrab, estamos hablando de ransomware<\/em> como servicio, desarrollado por un equipo de ciberdelincuentes y adquirido por otros que intentan cifrar tantos objetivos como sea posible. Pero, a pesar de las diferencias en los m\u00e9todos de entrega, podr\u00e1s protegerte contra GandGrab siguiendo estas pr\u00e1cticas:<\/p>\n