¿Tus amigos te mandan links a videos en Facebook? ¡Podría ser malware!

La clásica advertencia “no habrás archivos o links sospechosos en tu correo” se traslada cada vez más a las redes sociales, y es que ahora está circulando en Facebook un malware que es compartido en forma de un link donde el usuario es taggeado e invitado a abrirlo para ver un video.

Si hacen click en el hipervínculo, se abre una nueva pestaña solicitando la instalación de un plug-in para ver el video. De instalarlo, la computadora queda abierta para ser invadida por los creadores de este malware, que podrán tener acceso toda la información de cuentas y claves guardada en el navegador.

Carlo De Micheli, uno de los investigadores que han detectado el malware, ha dicho que éste ha provocado 40 mil ataques por hora y que ha afectado a 800 mil usuarios de Chrome.

Respecto al navegador de Google, Verónica Navarrete, portavoz de la compañía de Mountain View, ya ha dicho que se han desactivado las extensiones relacionadas con el malware. Por otro lado, en Facebook ya están trabajando en bloquear el link que conduce al malware.

Al igual que en los correos, lo mejor no dar clic en links que parezcan sospechosos.

vía The New York Times

Anuncios

Google y su lucha contra el «malware»

El gigante de internet localiza cada día 10.000 nuevas páginas web malintencionadas. Además, actuará contra la publicidad invasiva, la pornografía y los desnudos en Android

Google y su lucha contra el «malware»

Esta es una de las mayores preocupaciones de los internautas. El «malware» móvil es uno de los problemas informáticos que más ha crecido en el segundo trimestre de 2013, tanto en cantidad como en complejidad. Los cibercriminales no solo desarrollan programas cada vez más nocivos para plataformas móviles, sino que también están avanzando en capacidades y comportamiento de los programas. Por ello, es el equivalente a Windows en el mundo de los «smartphones».

Una iniciativa de Google trata de que el hecho de acceder a internet sea más seguro. Bajo esa premisa, cada semana la compañía publicará informes que informarán sobre las páginas web que no son seguras. Y es que poco a poco el popular buscador se ha convertido en un jugador importante en la lucha contra el «malware», a juicio del experto en seguridad Janus R. Nielsen de la empresa de antivirus MySecurityCenter.

Cuando el informe de transparencia de Google fue lanzado en 2006, la compañía pretendía aumentar la transparencia en el motor de búsqueda más grande del mundo. Además de mostrar que países y autoridades estaban aplicando censura en Google, ahora han añadido una sección del informe que muestra cuántos «malware» y sitios «phishing-infectados» se encuentran mediante la tecnología de Google Safe Browsing, lanzado en 2008.

«Esta iniciativa es un paso en la dirección correcta y creo que demuestra que Google reconoce su responsabilidad para mejor informar y proteger a los usuarios normales. Se encuentran cada día 10.000 nuevas páginas web malintencionadas, que hace hincapié en el hecho de que el malware es un problema creciente», explica Nielsen.

Actualmente, el sistema de Google Safe Browsing tiene registrados 1 billón de usuarios y con los nuevos informes se podrá ver cuántas advertencias Google emiten semanalmente (por ejemple la semana del 16 de Junio de 2013 hubo 88 millones). Estas advertencias incluyen «malware», donde los «hackers» pueden obtener acceso a tu PC y «phishing», que es un término para ataques donde los consumidores son engañados para que revele datos sensibles, tales como información de la cuenta.

Google también mostrará rápidamente cómo sitios web que han sido previamente infectado con «malware» se vuelven nocivos otra vez. «Ser consciente de que sólo Safe Browsing funciona en Chrome, Firefox y Safari, así que si utilizas Internet Explorer no obtendrá advertencias de Google pero sí desde el filtro SmartScreen de Microsoft. Sin embargo, uno puede fácilmente utilizar informes de Google para ver tendencias generales».

Un reciente informe de seguridad de programas de Microsoft indica que 25% de los usuarios de PC del mundo no tienen programas de antivirus instalado. «Esto indica que muchas personas todavía necesitan más información sobre las amenazas en línea y la seguridad de internet», explica este experto que hace hincapié en que los sistemas de protección de los navegadores no incluyen cortafuegos, que bloquean el tráfico inoportuno del ordenador antes de que acceda el virus.

En su lucha por un ambiente más «limpio» y obtener más calidad, Google ha introducido una serie de cambios en las políticas de la tienda Google Play para evitar la publicidad invasiva así como la existencia de pornografía y desnudos en su sistema operativo móvil Android, acusado de generar un flujo importante de «malware». En su lucha contra la pornografía, que le ha llevado incluso a evitar la entrada de este tipo de contenidos en su mimado dispostivo Google Glass, el gigante está creando una base de datos de imágenes que representan la explotación infantil.

vía abc

Ransomware “Anti-child Porn Spam Protection 2.0” afecta a Latinoamérica

Durante esta semana se han estado recibiendo varios informes provenientes de todo Latinoamérica sobre una amenaza del tipo Ransomware que afecto a varios usuarios. La amenaza se autodenomina “Anti-child Porn Spam Protection 2.0” y se caracteriza por bloquear el equipo y cifrar la información dentro del mismo para luego pedir un rescate de dinero a cambio de la contraseña que descifra los archivos. La amenaza es detectada desde un principio como Win32/FileCoder.NAC o como Win32/FileCoder.NAG (o posibles variantes de ambos) por los productos de ESET.

Una vez que la amenaza ingresa al equipo, el proceso principal de la misma bloquea la pantalla al usuario presentando una falsa pantalla azul de Windows (BSoD) con el siguiente mensaje:

A problem has been detected and Windows has been shut down to prevent damage to your computer.

A process or thread crucial to system operation has unexpectedly exited or been terminated.

If this is the first time you’ve seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Technical Information:

*** STOP: 0x000000F4 (0x00000003,0x81BAD8D8,0x81BADA3C,0x80944490)

A diferencia de versiones anteriores, la versión actualmente circulando de este malware genera dos claves totalmente aleatorias compuestas por cadenas complejas que rondan entre los 80 a 114 caracteres, que serán luego utilizadas para el proceso de cifrado de los archivos del sistema afectado.

Ejemplo de las claves generadas aleatoriamente:
9DF19AB897351C2A0A0FE18A6A73722EDM66BSAl3jBe2a3K8L275j34525b3&E=4RDP4-9y8Q1j3zDa9G9u3bD04t4dFuEO7M2%4zFT (104 caracteres)

6B1783B4656C5433B430F2CC28070B4E6^1HDq9JEV1+9L0SFr9(6aDu3rF8Cg6X7gC3F#D07LAxFgAD7&9G1%6S4k4YFzEm7^2g4PF*C%9y2T9 (112 caracteres)

Una vez generadas las claves, el malware también genera un ID de infección, el cual será solicitado más adelante para poder reclamar las claves anteriores, previo pago del rescate .

El ID y las claves generadas aleatoriamente y utilizadas para el cifrado de los archivos son enviadas al autor de la amenaza y luego eliminadas del equipo.

Para cifrar el contenido de los archivos, el malware realiza una copia utilizando el algoritmo AES provisto por la herramienta WinRAR, creando de esta forma archivos ejecutables, cifrados, seguros, con un algortimo AES de 128bits. Luego de realizar este proceso, elimina el archivo original del sistema afectado utilizando la herramienta de Sysinternals Sdelete, la cual utiliza el estándar del departamento de defensa de los Estados Unidos (DoD) DOD 5220.22, el cual establece la eliminación segura de datos, siendo imposible recuperar los mismos una vez eliminados.

Una vez finalizado todo el proceso, los archivos cifrados aparecerán dentro del disco con la siguiente estructura de nombre: 
Nombre_de_archivo_original.Ext.(!! to get password email id 1111111 to XXXrasecinfo@gmail.com !!).exe

En donde:

  • 1111111: es el ID de infección, el cual es necesario para reclamar la clave de descifrado.
  • XXXrasecinfol@gmail: la dirección de mail a donde enviar la información para el recupero de los archivos.

Según diversos análisis, hasta el momento no es posible recuperar los archivos cifrados, debido al método de cifrado y tamaño de clave utilizada por el Ransomware.

Después del pago, el delincuente envia un correo con las contraseñas de descifrado y una herramienta de descifrado que se podría utiliza en caso de que las contraseñas no funcionen. Los datos enviados son los siguientes:

Your Locker password: PASSWORD0
1st Decrypt password: PASSWORD1
2st Decrypt password: PASSWORD2
3st Decrypt password: PASSWORD3

Decryption tool (password to the archive: 123)

Download decryption tool pass 123.zip from Sendspace.com
Download it and unpack to any folder. Also program require administrative rules (use administrator account).

Copy paste 1st Decrypt password, 2st Decrypt password and 3st Decrypt passwords in decrypt tool 3 fields.

If you have not stop our software – use decryption tool, because the tool will stop our software before decrypting the files.

This is very important to stop our software service (and dont delete any files in ProgramData folder before stop) because your decrypted files may will be encrypted again.

Como se esto fuera poco, el delincuente informa de las técnicas de cifrado y eliminación de los archivos, así de porqué es obligatorio el pago. El correo es muy divertido y aquí dejamos una parte del mismo:

Please don't panic and send us angry emails or scare us to send claims in police, fbi or others - this is useless.

Stupid questions like – “I have backup and need only 1-2 files and can pay you only 500,1000,1500$ USD etc., We have a small business, this amount is too high” – will be ignored. Have backup – restore your files from it.

Our minimal price for your files is 4000$ USD. We don’t get passwords for free or for 500,1000,1500$ USD etc. We know that you have money.
Information topersons who believe that professionals can decrypt files:

**** Now only WE can get you the true password to decrypt all your files.
You can write to Dr.Web, Eset,Panda and other antivirus and security or datarestore companies,but now this is useless. This “Anti-Child Porn Spam Protection – 2.0 version” you have is from 22.03.2013 – more than 3 month passed and no one helped to get password or decrypt files.

La metodología utilizada por los desarrolladores maliciosos para infectar los equipos y las razones por las cuales los usuarios pueden haber sido afectados son las siguientes:

  • Los usuarios maliciosos intentan acceder al equipo por medio del escritorio remoto de Windows (Puerto 3389) y realizan un ataque de fuerza bruta hasta lograr acceder. Aparentemente estos ataques fueron realizados durante  los fines de semana para evitar sospechas.
  • Luego, de no poseer privilegios de administrador, intentan obtenerlos por medio de la ejecución de exploits que afectan al Escritorio Remoto de Windows (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223).
  • Una vez logrados los privilegios de administrador, intentan desactivar o desinstalar cualquier solución antivirus que estuviera instalada dentro del equipo. Debido a que disponen de privilegios esto no es un problema.
  • Por último proceden a descargar y ejecutar la amenaza, la cual cifra cualquier archivo que pudiera contener información importante (.doc, .pdf, .mdb, .txt, .xls, .jpg, .png, etc) con una contraseña alfanumérica creada de manera completamente aleatoria y que es enviada automáticamente al desarrollador malicioso vía mail. Luego la amenaza borra de forma segura el archivo que contenía la contraseña de manera que sea irrecuperable utilizando SDelete (http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx) y procede a bloquear el equipo con una pantalla que avisa de la infección y de cómo se debe pagar para recuperar los archivos cifrados.

Si bien la amenaza es detectada por los productos, queremos brindarles una serie de consejos para evitar este tipo de infecciones:

  • Utilizar contraseñas fuertes (alfanuméricas de mínimo 8 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.
  • Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario que solo sea accesible mediante conexiones de red seguras como son las VPN.
  • Tener actualizado los equipos con todos los parches de seguridad correspondiente (puntualmente aquellos que solucionan los exploits http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223)
  • Poseer una política definida de backups que aloje los mismos dentro de sistemas protegidos.
  • Realizar auditorías de seguridad de manera regular dentro de la red para evaluar la seguridad de los equipos accesibles desde Internet.