martes, 21 de junio de 2011

Troyano secuestra la Pc en nombre de la Policía Nacional española

Una nueva muestra "ransomware" acaba de ser detectada, tal como lo informan desde Hispasec, con la particularidad de que suplanta la imagen de la policía española con una metodologia bastante elaborada para conseguir que el usuario pague 100 euros por recuperar su equipo, acusándolo de almacenar contenido pedófilo, zoofílico y de enviar spam a favor del terrorismo.

El troyano ha sido denominado por algunas casas antivirus como Trojan-Ransom.Win32.Chameleon.mw. En estos momentos, es detectado por firmas por solo 9 motores en VirusTotal. Aunque ayer mismo, cuando llegó por primera vez, era solo detectada de forma genérica, por un motor. No es técnicamente novedoso, pero lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando. En nombre de la policía nacional, se acusa al usuario de:

"Su dirección IP ha sido registrada en las webs ilegales con contenido pornográfico orientadas a la difusión de la pornografía infantil, zoofilia e imágenes de violencia contra menores! [...] Además, desde su ordenador se realiza un envío ilegal (SPAM) de orientación pro terrorista."
La imagen que utiliza es la de la policía nacional española, aunque se ha visto unos días atrás un troyano de la misma familia que hacía alusión a la legislación alemana. De hecho, si se observa la imagen, se puede comprobar que se les ha escapado el texto la frase "policía alemana". El procedimiento es el habitual. El troyano se ejecuta cada vez que se inicia sesión y no permite utilizar el sistema a no ser que se pague.

El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Se puede acudir a cajeros automáticos de ciertas entidades, por ejemplo, y conseguir códigos que pueden valer entre 10 y 500 euros. Y además muestra logos de reputados bancos y casas antivirus para ganar credibilidad, pero ni la policía ni las empresas tienen nada que ver en el fraude, evidentemente, solo que soportan este tipo de pagos. En el aspecto técnico, es interesante destacar que no es sencillo eludir la pantalla de bloqueo del troyano, puesto que impide arrancar el administrador de tareas.

Desde el siguiente video se puede ver el funcionamiento del Troyano.



Curiosidades:

* Se puede escapar del troyano cambiando de usuario. Pero los usuarios con XP tienen más complicado zafarse. XP lanza por defecto directamente el administrador de tareas cuando se pulsa CTRL+ALT+SUP, pero el programa no llega a mostrarlo. Así que no se puede ni cambiar de usuario ni matar la tarea. En Vista y 7, sin embargo, se lanza la pantalla de presentación que muestra las opciones de bloquear la sesión, cambiar la contraseña, etc. Esta sí va a permitir cambiar de usuario y matar la tarea. Obviamente, hay que haber creado dos usuarios definidos.

* Comprueba la dirección IP, el user agent del navegador y el país de la IP y los muestra en pantalla para ganar credibilidad. Lo toma del servicio http://tools.ip2location.com/ib2/.

* Utiliza el logotipo oficial del cuerpo nacional de policía.

* El trabajo de traducción y la redacción son muy malas.

10 comentarios:

Anónimo dijo...

un troyano secuestra la Pc en nombre de la Policía Nacional española. ¡Qué ocurrente!
Más de uno se habra llevado un susto al recibir esto... pero por paysafecard no hace falta tener miedo . Es un metodo muy seguro por más virus que haya. Una vez que usaste el codigo ya pagaste y listo

Freddy dijo...

La única solución segura de pagar en internet es pagando con una tarjeta de prepago tipo paysafecard. Como no tiene ninguna vinculación con los datos personales no hay que preocuparse.

Anónimo dijo...

es la manera más segura que se me ocurre tambien. Hay varias tarjetas para pagar pero con una prepaga solo ingresas el codigo y listo. no hace falta tener cuanta de banco ni dar tus datos...Eso es muy guay

Freddy dijo...

Yo nunca he tenido problemas. Tocando madera y pagando con paysafecard... :-)

Anónimo dijo...

hacía mucho que no escuchaba esa expresión de tocar madera. Que bonito :)

Anónimo dijo...

Hola!
Trabajo en un taller de reparación de ordenadores y hoy han venido 3 equipos infectados con este malware en concreto. Me ha hecho gracia :D Puede eliminarse de forma manual en un par de minutos, siempre que sepas dónde buscarlo y tengas las herramientas adecuadas ;)

Cristhian dijo...

Si cierto, si sabes donde estan los archivos malisiosos podes hacerlo manualmente. Y estas ultimas semanas aparecieron nuevas variantes de este rasonware

Martin dijo...

Yo uso siempre el anti-malware pero no me esta andando muy bien, bloquea paginas porque si y me hace el procesador muy lento, deberia cambiar a un antivirus pago?

Cristhian dijo...

Hola Martin, no hace falta que compres uno pago, hay AV gratuitos muy bueno como el Avast o el Avira

Anónimo dijo...

Me acaba de pasar a miiiii y no se cómo kitarlo