Malware conocido como Ransomware.

**siflo23** · 02-abr-2014

El pasado mes de Enero, el Centro Nacional de Respuesta a Incidentes Cibernéticos (CERTMX) de la Policía Federal Mexicana reporto incidentes en varios puntos de México relacionados con un tipo de malware conocido como Ransomware.

Esta variante detectada también se conoce como “El virus de la policía” y ya había aparecido en otros países, en Latinoamérica se detectó en Argentina y Kaspersky Lab publicó su aparición en Europa asociada a un falso aviso de la policía Alemana http://www.securelist.com/en/blog/61...ice_BKA_notice.

El 13 de Febrero de este año Brigada de Investigación Tecnológica de la Policía Nacional de España en colaboración con Europol desarticularon una red que se dedicaba a distribuir este tipo de malware hacia diferentes países, en la que se considera una de las mayores operaciones contra el Cibercrimen http://www.interior.gob.es/press/gol...el-mundo-14802.

Vector de Infección

Este tipo de malware se propaga por medio de anuncios maliciosos en internet (malvertising) que se encuentran en cierto tipo de sitios web de descarga de música o videos, incluso puede venir embebido dentro los mismos archivos. En ocasiones el código malicioso aprovecha vulnerabilidades en aplicaciones instaladas.

Al momento que el usuario accede al sitio malicioso o ejecuta un archivo infectado, se instala una copia del malware en el equipo del usuario al directorio C:\ProgramData (en este caso el archivo que se obtuvo de las muestras se llama ifgxpers.exe) junto con 2 archivos de imágenes con extensiones .bmp y .jpg, que corresponden a la pantalla que aparece al usuario al momento de bloquear su equipo.

Adicionalmente, el malware genera una nueva entrada en la llave de registro de Windows que le permite ejecutarse cada vez que se reinicia el equipo simulando ser una aplicación valida de Adobe ARM.

FUENTE Y SOLUCION

**IvanMelero** · 03-abr-2014

Otro tema muy comun es la utilización de las típicas alertas de JavaScript.. me explico.

Entrar a una página web con todo lo habitual del virus de la policia, pero, si mueves el ratón, clicas, o haces cualquier cosa sobre esa página, te salta una alerta en inglés, advirtiéndote de que tu navegador ha sido secuestrado y que todos tus archivos han sido encriptados, si los quieres desencriptar, realiza un 'pago' a 'x' sitio

No obstante, gracias por la información ya que le será util a aquellos que no lo sepan

Saludos

02-abr-2014	#1
siflo23 Ayudante Experto Ingreso: julio-2010 Ubicación: Zacatecas Mexico Mensajes: 601 Sexo: País: Signo: Agradecido: +1.066	Malware conocido como Ransomware. El pasado mes de Enero, el Centro Nacional de Respuesta a Incidentes Cibernéticos (CERTMX) de la Policía Federal Mexicana reporto incidentes en varios puntos de México relacionados con un tipo de malware conocido como Ransomware. Esta variante detectada también se conoce como “El virus de la policía” y ya había aparecido en otros países, en Latinoamérica se detectó en Argentina y Kaspersky Lab publicó su aparición en Europa asociada a un falso aviso de la policía Alemana http://www.securelist.com/en/blog/61...ice_BKA_notice. El 13 de Febrero de este año Brigada de Investigación Tecnológica de la Policía Nacional de España en colaboración con Europol desarticularon una red que se dedicaba a distribuir este tipo de malware hacia diferentes países, en la que se considera una de las mayores operaciones contra el Cibercrimen http://www.interior.gob.es/press/gol...el-mundo-14802. Vector de Infección Este tipo de malware se propaga por medio de anuncios maliciosos en internet (malvertising) que se encuentran en cierto tipo de sitios web de descarga de música o videos, incluso puede venir embebido dentro los mismos archivos. En ocasiones el código malicioso aprovecha vulnerabilidades en aplicaciones instaladas. Al momento que el usuario accede al sitio malicioso o ejecuta un archivo infectado, se instala una copia del malware en el equipo del usuario al directorio C:\ProgramData (en este caso el archivo que se obtuvo de las muestras se llama ifgxpers.exe) junto con 2 archivos de imágenes con extensiones .bmp y .jpg, que corresponden a la pantalla que aparece al usuario al momento de bloquear su equipo. Adicionalmente, el malware genera una nueva entrada en la llave de registro de Windows que le permite ejecutarse cada vez que se reinicia el equipo simulando ser una aplicación valida de Adobe ARM. FUENTE Y SOLUCION "El conocimiento no es para todos, pero el derecho de buscarlo SI"

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
¿Sexo Virtual? Qué es, cómo se practica, etc.	cardavid	Sexualidad	41	25-jun-2017 19:31
Alertan de la expansión de malware camuflado como actualización de Adobe Flash Player	carmen10	Seguridad	9	31-ene-2013 13:32
Pruebas del Paraíso: El viaje de un neurocirujano al más allá	unpaso	Off-Topic	12	18-ene-2013 11:15
Mundial de Futbol Sudáfrica 2010	Eloy58	Deportes	517	08-ene-2013 02:32

Los siguientes 4 usuarios agradecen a siflo23 por este mensaje:
Francisco6812 (02-abr-2014), mikeangel21 (03-abr-2014), redeyegt (02-abr-2014), tom1260 (02-abr-2014)

03-abr-2014	#2
IvanMelero Novato Ingreso: enero-2014 Ubicación: Madrid, España. Mensajes: 23 Sexo: País: Signo: Agradecido: +55	Otro tema muy comun es la utilización de las típicas alertas de JavaScript.. me explico. Entrar a una página web con todo lo habitual del virus de la policia, pero, si mueves el ratón, clicas, o haces cualquier cosa sobre esa página, te salta una alerta en inglés, advirtiéndote de que tu navegador ha sido secuestrado y que todos tus archivos han sido encriptados, si los quieres desencriptar, realiza un 'pago' a 'x' sitio No obstante, gracias por la información ya que le será util a aquellos que no lo sepan Saludos

Los siguientes 3 usuarios agradecen a IvanMelero por este mensaje:
baduser (03-abr-2014), mikeangel21 (03-abr-2014), tom1260 (03-abr-2014)

(0 miembros y 1 visitantes)