CoinVault atrae a los usuarios al descifrar un archivo solo para cifrar todos los demás

Table Of Contents

• CoinVault atrae a los usuarios al descifrar un archivo solo para cifrar todos los demás
• Cebo para atraer dinero
• Consejos de seguridad

CoinVault atrae a los usuarios al descifrar un archivo solo para cifrar todos los demás

El último ransomware llamado CoinVault, ataca la PC secuestrada y le da a la víctima la generosidad de permitirle descifrar un archivo de forma gratuita antes de exigir el pago por el resto en BitCoins. Al igual que un narcotraficante o un ladrón de bancos, el nuevo malware, llamado CoinVault, le da a la parte que paga un “sabor” de los bienes liberados, luego exige el pago completo por el resto. El rescate aumenta cuanto más tiempo la víctima no paga.

Cebo para atraer dinero

CoinVault es similar a otros ransomwares que hemos visto antes. La única diferencia es que este ransomware te permite descifrar uno de los archivos “rehenes” para mostrarte que el descifrado funciona y para mostrar las ‘nobles’ intenciones de los secuestradores. Una vez que infecta una PC con Windows, CoinVault muestra un mensaje que dice a las víctimas que “Sus documentos y archivos personales en esta computadora acaban de ser cifrados.” Exige el pago en la criptomoneda en línea Bitcoin y da instrucciones sobre cómo las víctimas pueden enviar el dinero. Este es un software que se puede eliminar de tu máquina como cualquier otro. Pero una vez que lo eliminas, te quedas sin forma de recuperar tus archivos perdidos. Y el ransomware muestra esto para enfatizar el mensaje.

Los expertos siempre aconsejan a los usuarios que no paguen tal rescate. Principalmente porque no existe un marco legal ni ningún medio para garantizar que el atacante descifrará tus archivos una vez que se haya realizado el pago. La mayoría de los atacantes generalmente descifran tus archivos. Pero si uno decide no hacerlo, se convierte en un problema, ya que descifrarlo tú mismo podría llevar años. La política de “un descifrado gratuito” es probablemente un medio para que el atacante intente hacer que más personas paguen. La ubicación donde se pide a las víctimas que paguen también se hace dinámica, por lo que las posibilidades de que el atacante sea rastreado se reducen.

Los investigadores de seguridad han analizado el malware. Está hecho en el marco .Net. Una parte interesante de la noticia es que este ransomware también está comprobando analizadores de red como Wireshark, probablemente para protegerse. Kaspersky detecta esta familia como ‘Trojan-Ransom.Win32.Crypmodadv.cj’. Ya hemos visto aplicaciones maliciosas similares en el pasado (en cuanto a funcionalidad) como ‘TorrentLocker’ y algunos ransomwares de PowerShell, pero la cantidad de esfuerzo invertido en este para proteger el código muestra que los cibercriminales están aprovechando bibliotecas y funcionalidades ya desarrolladas para evitar reinventar la rueda.

Consejos de seguridad

Para protegerse contra este tipo de ransomware, se aconseja:

• Siempre hacer una copia de seguridad de todos tus archivos críticos y guardarlos ya sea en un disco duro externo o en la nube.

• Guardar varias versiones para prevenir la posibilidad de que la copia de seguridad también sea cifrada.

• Si alguna vez te infectas con ransomware, puedes simplemente eliminar el malware y restaurar tus archivos antiguos.

• También debes asegurarte de que todo tu software esté actualizado y parcheado, ya que el ransomware casi siempre explota vulnerabilidades de software conocidas.

• Asegúrate de instalar y ejecutar una solución antivirus robusta, que atrapará la mayoría o todas las formas de malware controlado por criminales.

Recurso: Secure List.