Ha surgido un troyano que se aprovecha de un error o vulnerabilidad del navegador Internet Explorer para modificar documentos importantes de tu ordenador (cifrándolos). A continuación borra los originales y te exige un rescate de 200 dólares si quieres recuperarlos.
Y repito, no es ninguna broma. Se llama Trojan.Pqpcoder.
La vulnerabilidad o error del que se aprovecha fue resuelta hace ya un año, pero es conocido que poca gente que usa Internet Explorer suele actualizar el navegador. Para quién lo use y no esté seguro de si está protegido, aqui pueden buscarlo.
La gran novedad de este troyano es sin duda la forma de actuar que tiene, poco usada hasta ahora. Busca en el disco duro del usuario infectado archivos con 15 extensiones predefinidas , entre ellos los del paquete ofimático Office, cifra los ficheros que encuentra, borra los originales y exige a la víctima 200 dólares para conseguir el método para descifrarlos.
Una forma más que eficiente de evitar estos problemas es usar otros navegadores como Opera o Firefox, que aunque no están exentos de fallos, al menos se buscan soluciones casi inmediatamente.
La dinámica detallada del ataque es como sigue:
- Inicialmente, el sitio malicioso descarga y ejecuta un troyano (downloader-aag) en la máquina de la víctima. Este troyano se conecta a otra página web, desde la que descarga una aplicación de cifrado, la renombra y la ejecuta.
- El programa malicioso de cifrado añade elementos al registro de Windows en: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
- Busca ficheros de texto en cualquier unidad de almacenamiento del ordenador víctima y los reemplaza por texto ilegible.
- Crea un fichero llamado autosav.ini donde guarda información sobre los ficheros que han sido cifrados.
- Crea un fichero tmp.bat en el directorio donde se ejecutó, para borrarse a sí mismo.
- Crea un fichero denominado Attention!!! que contiene las instrucciones para recuperar los ficheros, previo pago de 200 dólares a través de una cuenta en e-gold.com u otros.
- Envía un aviso al servidor desde donde se descargó.
