Presentamos en esta ocasión un ransomware peculiar, que juega con la idea de la activación de Windows para estafar a los usuarios infectados. Bloquea el sistema con la excusa de la activación. Lo novedoso es que, en vez de pedir los datos de tarjeta o un pago a una cuenta para devolver el control del sistema, obliga a llamar a unos números de teléfono especiales para recibir un código… que no lo desactiva del todo.
La funcionalidad básica del malware (anunciado por F-Secure) es residir en el sistema y bloquear el escritorio cuando se inicia sesión. Muestra una pantalla que simula ser la de activación tradicional de Windows, detectando el idioma de la conexión. Invita a llamar a una serie de números de teléfono:
002392216368
002392216469
004525970180
00261221000181
00261221000183
00881935211841
Dice que son gratuitos, pero no es así. Los números pertenecen a operadores fraudulentos y llevan a países con tarifas muy caras, pero los operadores la redirigen en realidad a países más baratos. Cobran el precio de la llamada cara, y se quedan con la diferencia. Lo interesante es que, además de la programación del troyano, es necesario que haya detrás operadores fraudulentos para completar la estafa. Los países a los que pertenecen los números son Santo Tomé y Príncipe (239), Dinamarca (45), Madagascar (261) y “Globalstar Mobile Satellite Service” (8819).
Hemos realizado la prueba y al menos desde el laboratorio, parece que algunos no funcionan, y otros simplemente no son atendidos. En cualquier caso, según F-Secure, atiende un sistema automático que pide marcar un código. El código devuelve un número tras unos minutos: 1351236. El código es válido y permite efectivamente acceder al escritorio, pero solo temporalmente. El troyano sigue residente y volverá a activarse en el siguiente inicio de sesión. No se entiende este comportamiento puesto que así no conseguirán más llamadas del mismo usuario (si esa era su intención). Siempre devuelve el mismo número y el usuario infectado solo tendrá que recordarlo. Este código también es posible conseguirlo realizando ingeniería inversa al troyano.
El troyano llegó a Virustotal por primera vez el 10 de marzo, con el nombre Firefox_update.exe desde Francia. En ese momento, solo era detectado por firmas por 3 antivirus. El día 15 pasó a ser detectado por 18 motores, hasta que poco a poco (a medida que ha captado atención mediática) ha sido detectado por 40 motores el día 11 de abril.
Invitamos al lector a visualizar el vídeo alojado en YouTube (2:21 minutos)
ssantos@hispasec.com
Más información:
“Windows license locked!”
http://www.f-secure.com/weblog/archives/00002139.html
Deja un comentario