26 de abril de 2012
Cronología del “Virus de la Policía”
El “Virus de la Policía” también conocido como “Virus Ukash” se ha convertido una de las plagas más insidiosas de los últimos tiempos. Cientos de usuarios en España, Europa y Latinoamérica, han visto cómo su ordenador se bloqueaba nada más iniciarlo y muestra un mensaje que parece provenir del Cuerpo Nacional de Policía, que con la excusa de haberse producido accesos a páginas que contienen pornografía infantil solicita cierta cantidad de dinero para desbloquearlo.
El troyano se basa en los sistemas de pago online Ukash y Paysafecard. Al parecer, hay gente que incluso los ha pagado: “Pagan una multa policial falsa por ver porno en sus ordenadores”
Al igual que hemos estado haciendo desde @InfoSpyware, nuestros amigos de Hispasec han estado siguiendo muy de cerca la evolución de este ransomware, por lo que queremos compartirles la ‘Crónica del Virus de la Policía’ la cual hemos modificado y actualizado e intentaremos mantenerla actualizada con las nuevas variantes.
El éxito de este ransomware se basa en:
Una difusión profesional. Están aprovechando vulnerabilidades muy recientes (enero) en software popular (Java) y difundiéndolo en páginas muy visitadas (webs de descarga directa de material multimedia). Esto está resultando en una difusión masiva del malware puesto que los usuarios se infectan aparentemente sin haber ejecutado directamente ningún fichero.
Un malware “simple” y efectivo. El malware en sí no es “sofisticado” en los términos que manejamos hoy en día (con SpyEye y Zeus como referencia). Solo muestra en pantalla una imagen descargada de un servidor, y espera recibir órdenes. Aunque complejo, no se incrusta en el sistema de una manera especialmente enrevesada. Esto ayuda a que, unido a una detección pobre por firmas, los antivirus no lo detecten tampoco por la heurística de un comportamiento sospechoso.
La ingeniería social. Amenazar al usuario con actividades que realizan comúnmente (descarga de material multimedia, por ejemplo), ayuda a dar credibilidad a la estafa. En algunos foros “underground” hemos observado que el creador se jacta de conseguir que aproximadamente un 1% de los infectados termine pagando. Con el nivel de infección conseguido en toda Europa, podemos imaginar lo lucrativo de la estafa.
Eludir antivirus. Las muestras recién llegadas a VirusTotal suelen ser poco detectadas. Están trabajando en eludir las firmas de forma notable, consiguiendo que las muestras “frescas” pasen muy desapercibidas.
.
Cronología del “Virus de la Policía”
Marzo 2011: Aparecen las primeras muestras de la “Policía Alemana” reportadas por Kaspersky Labs como Trojan.Ransom
Junio 2011: Se extiende a otros países de Europa (Italia, Gran Bretaña, Francia) incluido España en donde el sitio web oficial de ese país “Policía.es” emite una advertencia a los usuarios.
Junio 2011: Se reporta en nuestros foros el primer usuario infectado que nos comenta que hasta acudió a la policía y si bien le comentaron que era una estafa, no podían ayudarlo a reparar su PC. (el usuario nos deja la primer captura de pantalla)
Agosto 2011: El GDT de “La Guardia Civil Española” emite un comunicado advirtiendo a los internautas sobre esta estafa, aunque en ese momento creían que solamente se trataba de un “listillo” que se aprovechaba de los usuarios Españoles únicamente.
Septiembre 2011: En @InfoSpyware desarrollamos y publicamos la primera versión beta de “PoliFix” nuestra principal herramienta gratuita para combatir este ransomware de forma automática la cual mantenemos continuamente actualizada.
Octubre 2011: Aparecen nuevas versiones que son mucho más sofisticadas. No incluyen la imagen en su interior, sino que la descargan desde un servidor según la dirección IP de origen del infectado. El sistema pasa también a formar parte de una pequeña botnet que permite ser eliminada en remoto por el propio atacante, según le convenga.
Octubre 2011: Nos llega al Foro, el primer caso Latinoamericano de la “Policía Federal Argentina” donde a diferencia con Europa que pide $150 o $100 Euros de multa, este pide únicamente $50 pesos Argentinos.
Octubre 2011: Publicamos la: Guía de cómo eliminar el “Virus de la Policía” (con nuestra herramienta PoliFix) y publicamos mas información en nuestro Blog.
.
.
Enero 2012: Los foros se inundan de usuarios infectados con nuevas y diferentes variantes. El sitio web de la Policía Española vuelve a emitir otro comunicado: Nueva oleada de ransomware a nombre de la policía.
Febrero 2012: Aparece una nueva variante, que se aleja del resto en estética, pero con igual funcionalidad y temática: supuesto bloqueo del ordenador por orden de la policía. Tiene la particularidad de renombrar la rama del registro de Windows que se encarga de permitir el arranque del PC en modo seguro (F8). A su vez, la versión “mainstream” del troyano comienza a utilizar diferentes ramas del registro para lanzarse en el inicio del sistema operativo y bloquearlo
Febrero 2012: Microsoft reporta la variante Trojan:Win32/Ransirac.G que si bien no utiliza el gancho de la policía, lo hace con GEMA, la sociedad de gestión colectiva de autores y compositores alemana.
Marzo 2012: Hispasec publica un Documento técnico: Estudio del “troyano de la policía” [PDF]
Marzo 2012: El malware comienza a usar una vulnerabilidad en Java muy reciente para distribuirse. Los usuarios con un Java no parcheado desde final de enero son vulnerables con solo visitar con cualquier navegador una página web manipulada. Normalmente se esconden en publicidades de páginas web de descarga de material multimedia.
Abril 2012: Nueva variante Trojan Koeserg la cual cifra todos los archivos .doc, xls, .dbf, pdf, txt, jpg png, gif, con una clave de 1024 bits con extensión .EnCiPhErEd, generando a su vez un archivo llamado HOW TO DECRYPT FLIES.TXT que contiene la extorción de $50. Para desncriptar esta variante utilizar la herramienta de Dr.Web te94decrypt.exe
Abril 2012: El virus continúa su evolución técnica. Cambia de estrategia y no usa imágenes, sino HTLM. También hay variantes que usan características poco conocidas de Windows para bloquearlo. Por último, comienza a destruir por completo el arranque en modo seguro, único “salvavidas” de muchos usuarios, que se ven incapaces de eliminar el malware si no es con otros métodos de recuperación más sofisticados.
Mayo 2012: El día 5 nos llega la primer variante del nuevo Ransom.Win32.Rannoh que encripta los archivos del equipo infectado añadiendo la palabra “locked-” antes del nombre del archivo y 4 caracteres aleatorios después de la extensión original del archivo, que los convierten en archivos inutilizables. Kaspersky Labs libera la utilidad gratuita llamada: RannohDecryptor con la cual podemos desencriptar los archivos.
Junio 2012: Recibimos y analizamos en @InfoSpyware las primeras variantes del “virus de la policía” que enciende la webcam para grabar a sus víctimas. En realidad esta variante lo que hace es simplemente prender la cámara web de la víctima, pero no graba ni envía imágenes a ninguna autoridad real ni sito web alguno… simplemente es un efecto más parte del fraude para que se vea más real, al igual que incorporar logos de autoridades como en este caso la versión en español incorpora el de la OSI (Oficina de Seguridad del Internauta). Ver imagen.
Agosto 2012: El FBI emite una alerta sobre una variante de ‘Reveton’ que utiliza la imagen de las autoridades estadounidenses que según el Centro de Quejas de Crímenes en Internet (IC3) los usuarios lo estaban “inundando con quejas” sobre este ataque scareware que pide $ 200 dólares a sus víctimas para liberar el equipo y como lo habíamos reportado en @InfoSpyware hace un par de meses atrás, también intenta hacer creer a su víctima que está enviando las imágenes de su webcam a las autoridades. Ver imagen.
Agosto 2012: PoliFix versión 2.0.5 es actualizada para hacerle frente a las ultimas variantes reportadas y por primera vez en esta versión se incorpora una nueva funcionabilidad “Poli Heurística” desarrollada para atrapar las nuevas variantes aun desconocidas incluso antes de incorporarlas manualmente a la base de datos…
Diciembre 2012: TrendMicro descubre y reporta la primera variante denominada TROJ_REVETON.HM, la cual aparte de mostrar una advertencia del departamento de estado dependiendo del país, incorpora un nuevo sistema de audio a la advertencia que también es reproducida en el leguaje correspondiente a la pc de la víctima.
Diciembre 2012: Surge una nueva variante que por sus características en @InfoSpyware denominamos “Ransom.Block” infectando principalmente a usuarios en España, la cual se encarga de encriptar (cifrar/bloquear) todos los archivos personales del PC victima (.doc, .txt, jpg, xls,) con el algoritmo de cifrado AES-256, lo cual si no se cuenta con los archivos llave Initia1Log.txt.block y ok.txt.block, se hacen imposibles de recuperar. Les recomendamos la: Guía de cómo eliminar el Ransom.Block con DeBlock
Enero 2013: Comienzan a surgir las nuevas variantes del Ransomware de la Policía para este 2013, con nuevos diseños de sus imágenes, donde incorporan grabación de audio y video de la victima y nuevas supuestas razones del bloqueo de su ordenador como: Violación a derechos de autor, Posesión de material pornográfico, Actividades terroristas, Difusión de malware, Juegos de Azar, Envíos de Spam.
Febrero 2013: La Brigada de Investigación Tecnológica (BIT) de la Policía Nacional Española, en colaboración con Interpol y Europol, Detienen a 11 individuos en relación al “virus de la policía” en la Costa del Sol – España.
Febrero 2013: Comenzamos a recibir en @InfoSpyware nuevas variantes del ransomware de la policía creados específicamente en español para Latinoamérica en países como: Argentina (ver imagen), Chile, México (ver imagen), Panamá, Bolivia (ver imagen), Brasil y Ecuador (ver imagen) hasta el momento, aunque no descartamos otros países de la región. Todas las variantes, son detectadas y eliminadas por PoliFix.
Continuara…
Recuerde seguir nuestras guías de:
Cómo eliminar el “Virus de la Policía” (con PoliFix)
Cómo eliminar el “Virus de la Policía” (SIN ‘Modo Seguro’).
(Solicite ayuda personalizada para su caso en nuestros foros de ayuda gratuita.)
.
Recolección de las imágenes del “Virus de la Policía” en todo el mundo.
.
.
.
Surf Safely
.
Microsoft MVP Enterprise Security - Founder & CEO to ForoSpyware & InfoSpyware. .
