Un Ransomware que suplanta la instalación de Windows 10
Cisco Systems fue la primera empresa en señalar el gran número de intentos de propagar el Ransomware CTB-Locker utilizando correos electrónicos falsos, supuestamente enviados por Microsoft. En las falsas notificaciones se indica que Windows 10 está listo para ser instalado, siendo solo necesario hacer clic en un enlace.
Los ciberdelincuentes aprovecharon el interés del público por instalar Windows 10, induciendo a usuarios descuidados a descargar esta variante especialmente peligrosa de ransomware.
Cisco informó que los mensajes son bastante realistas, ya que imitan el tipo de comunicaciones que Microsoft ha estado enviando últimamente. La dirección suplantada es “update@microsoft.com”, lo que hace más convincente el mensaje.
Cabe señalar que Microsoft no comunicó a los usuarios sobre la actualización a Windows 10 por correo electrónico, sino directamente desde el escritorio de Windows.
El correo incluye un anexo denominado Windows 10 Installer, que en realidad contiene el malware CTB-Locker. Una vez instalado, comienza a cifrar los archivos de la computadora atacada, volviéndolos inutilizables para su propietario. La única forma de recuperar el acceso a los datos es pagando una suma mediante Bitcoins a través de la red Tor, en un plazo de 96 horas.
Cisco califica como “poco realista” la posibilidad de desencriptar los archivos, debido al potente algoritmo utilizado por los delincuentes.
Además de cifrar los archivos, el malware los analiza buscando información relevante para sus creadores, como por ejemplo números de tarjetas de crédito, credenciales, etc.
La reacción de Cisco y otras compañías de Seguridad Informática fue bloquear el correo dañino actualizando la base de firmas de malware.