Ordenadores indios siendo atacados por el Ransomware TeslaCrypt (Versión 2.0.0)

Usuarios de PC indios siendo acosados por un brote de Ransomware TeslaCrypt

Expertos cibernéticos han detectado una nueva versión de un virus notorio que está creando una situación caótica en India. Este virus toma el control de los sistemas informáticos hasta que se paga un rescate. Llamado ‘Ransomware TeslaCrypt’, el malware ha sido actualizado a la versión 2.0.0 por sus creadores, y es bien conocido por infectar computadoras de jugadores, dicen los expertos. También incluye nuevas características y esquemas de cifrado, específicamente para imitar a CryptoWall.

El programa malicioso ahora está apuntando a empresas y consumidores en línea a través de archivos adjuntos de correo electrónico que no permiten el acceso a un sistema informático hasta que se paga una suma de dinero, particularmente en dólares, como rescate. El rescate se duplica si la víctima se retrasa en el pago.

Detectado en febrero de 2015, TeslaCrypt acaparó titulares cuando comenzó a infectar sistemas en EE. UU., Europa y países del sudeste asiático. Luego comenzó en ciudades indias, incluyendo Mumbai y Delhi. Dos empresarios de Agra fueron atacados en los últimos 6 meses, de quienes los criminales exigieron un rescate de más de $10,000 para recuperar sus máquinas.

Hablando con TOI, Nitin Kasan, encargado de la célula cibernética de Agra, dijo: “En los últimos seis meses, se reportaron dos casos en Agra, donde el malware bloqueó los archivos más importantes de sus víctimas y los mantuvo como rehenes a cambio de un rescate para desbloquearlos.”

Sandeep Gupta, una víctima de extorsión en línea, que posee una empresa de exportación de artesanías en Agra, dijo: “En febrero, el sitio web de mi empresa y los correos electrónicos que contenían detalles importantes de transacciones e información de clientes fueron bloqueados por algún hacker nigeriano desconocido.”

En un correo electrónico, los hackers exigieron un rescate de $10,000 (Rs.636,000) y amenazaron con destruir todos los datos de Gupta. “Busqué ayuda de la célula cibernética de la policía de Agra, que me ayudó a recuperar el control de mi sitio web,” dijo. La célula cibernética ayudó al Sr. Gupta a obtener acceso a su sitio web.

TeslaCrypt, también conocido como cazadores de jugadores de computadora, después de obtener el control sobre la computadora de la víctima, exhibe una página HTML en el navegador web que es una copia idéntica de CryptoWall 3.0, otro programa de ransomware bien conocido.

Altaf Halde, MD (Asia del Sur) de Kaspersky Labs – una agencia de seguridad digital – fue el primero en identificar el malware y dijo: “El ransomware es un tipo de malware que es un mecanismo digital de extorsión. El consumidor promedio y tanto las grandes como las pequeñas empresas pueden ser víctimas de ransomware. Tal ataque se entrega típicamente a través de un correo electrónico que incluye un archivo adjunto que podría ser un archivo ejecutable, un archivo comprimido o una imagen. Una vez que se abre el archivo adjunto, el malware se despliega en el sistema del usuario.”

Es interesante conocer la forma en que funciona el malware TeslaCrypt. La versión reciente ya no utiliza GUI para informar a los usuarios que sus archivos están siendo codificados. Se abre una página web en el navegador del usuario debido al malware, que muestra un mensaje de advertencia. El mensaje parece ser ‘amigable’ en naturaleza y le dice al usuario que sus archivos han sido ‘safely encrypted’. Los usuarios necesitarán abrir el Sitio de Desencriptación de Archivos y luego seguir las instrucciones para decodificar todos los archivos.

The Register informa que el malware ha podido generar alrededor de $76,500 (Rs.4,800,000) en solo 10 semanas. Pagadero en Bitcoin, el TeslaCrypt pide entre $150 – $10,000 (Rs.10,000 a 630,000). Utiliza la red de anonimato Tor para toda la comunicación, lo que hace que sea muy difícil de rastrear.

No abrir los archivos adjuntos de fuentes desconocidas es la única forma probada de mantenerse a salvo de TeslaCrypt y cualquier otro malware. Crea copias de seguridad de todos tus archivos esenciales regularmente. Las copias deben almacenarse en medios que estén físicamente desconectados inmediatamente después de que se complete la copia de seguridad. No utilices pen-drives prestados en tu sistema, mantén tu software anti-malware actualizado y no descargues nada de sitios web que no sean de confianza.

CryptoWall, CryptoLocker, CTB-Locker y CoinVault son todas variantes diferentes de la familia de ransomware.