GoldenEye. El Currículum de un virus.

GoldenEye. El Currículum de un virus.

Durante los primeros meses de 2016, fuimos testigos de la irrupción de Petya, un ransomware que se instalaba en el sector de arranque de los discos duros que infectaba para después cifrarlos por completo. Este malware venía a engrosar las listas de los ransomwares criptográficos, de los que Cryptolocker es uno de sus ejemplos más típicos.

Después de que Petya ha podido ser descifrado, los ciberdelincuentes responsables de esta amenaza quieren seguir amenazando a los usuarios a través de la red y, por ello, han creado una nueva amenaza conocida como GoldenEye.

Recientemente hemos conocido la existencia de GoldenEye, un sucesor de Petya que funciona de la misma manera, con un objetivo y una forma de ataque muy curiosos: los departamentos de recursos humanos de las empresas. Intenta entrar en los ordenadores de quienes se encargan de la selección de personal a través de correos electrónicos con archivos adjuntos que intentan hacerse pasar por peticiones de empleo legítimas.

Cuando GoldenEye intenta entrar en un ordenador lo hace usando dos archivos. El primero de ellos es un PDF que no contiene software malicioso, pero que está dirigido a intentar que la victima piense que se trata de una petición de empleo estándar. El segundo es un archivo de Excel que supuestamente contiene un documento con una solicitud de empleo.

En este archivo Excel es donde se oculta el ransomware. Cuando el objetivo lo abre se le presenta un documento que indica estar “cargando”, y que solicita que se habiliten las macros para abrirse. Cuando se hace esto, se ejecuta un código que empieza a cifrar los archivos del ordenador antes de presentar la nota que encabeza estas líneas.

Cuando GoldenEye se ejecuta en un ordenador, lo primero que hace es instalarse automáticamente dentro de la ruta “%APPDATA%” del sistema. Una vez instalado, se ejecuta automáticamente y comienza la tarea de infección.

A diferencia de los ransomware anteriores, GoldenEye comienza cifrando los datos del disco duro uno a uno como un primer ataque de manera que se asegura, al menos, una infección. Una vez termina, GoldenEye intenta ejecutar el payload para cifrar el disco duro. Si consigue permisos de administrador, automáticamente el ransomware cifra el MBR (sector de arranque) y se instala en él, causando un error en el sistema, reiniciando el ordenador y mostrando al usuario la temida pantalla de la infección y rescate.

Por el momento no existe forma de recuperar los datos cifrados por esta amenaza. Los usuarios infectados, lo único que pueden hacer es probar suerte a pagar el elevado rescate de 1.3 Bitcoin (moneda electrónica) equivalentes a unos 1400€. Una vez pagado el rescate, los ciberdelincuentes les facilitan una herramienta para descifrar los datos. Esta herramienta también nos pedirá la clave de descifrado de los datos y, además, asegura que, si la introducimos mal, es posible que hasta perdamos por completo nuestros datos.

Sin duda, una nueva amenaza muy preocupante y peligrosa que combina dos de los peores ransomware vistos hasta ahora (Petya y Mischa) y que, por desgracia, ya está infectando a un número considerable de usuarios.

Una forma de evitar que los usuarios se infecten con este ransomware pasa por no habilitar los macros en documentos de Microsoft Office, y usar el sentido común cuando reciban algún correo electrónico inesperado o que sea excesivamente genérico. Otra opción pasa por usar un antiransomware como RansomFree.

Si ya has sido infectado sigue estos pasos: Primero, necesitas erradicar este malware. Para ello, puedes emplear una herramienta anti-spyware, por ejemplo, Reimage o Malwarebytes Anti Malware. Asegúrate de que las definiciones de la base de datos están actualizadas para que el software pueda eliminar el virus GoldenEye por completo. Solo cuando el proceso se complete, puedes acceder a las opciones de recuperación de los datos.


Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *