SHADE. Nuevo troyano que cifra los archivos de los equipos infectados

Los troyanos que cifran los archivos de los equipos infectados se han convertido en una constante y son una de las amenazas más utilizadas por los ciberdleincuentes para estafar a los usuarios, o en su defecto provocar que este pierda información que en muchos casos puede resultar valiosa. En esta ocasión, expertos en seguridad han detectado la distribución del malware Shade.

Los datos que se cifran utilizando RSA y obteniendo archivos con extensiones .xtbl y .ytbl, siendo completamente imposible abrirlos con los programas que habitualmente se utilizaban. Los expertos en seguridad de Kaspersky han optado por otorgar este nombre a dos troyanos conocidos con anterioridad con el nombre de Cryakl y Scatter, dos amenazas que vieron su luz a comienzos del año 2014 y que tiene su origen en Rusia, al igual que la inmensa mayoría de amenazas que surgen en la actualidad, fomentado sobre todo por la escasa persecución existente en este país.

Esta amenaza se distribuye sobre todo haciendo uso de correos electrónicos con archivos adjuntos infectados que en realidad son el instalador del troyano. Algunos ejemplos encontrados de nombres de archivos que utilizan los ciberdelincuentes son los siguientes:

1. doc_para firmar.com
2. doc_para firmar.rar
3. documentos_589965465_documentos.com
4. documentos_589965465_documentos.rar
5. documentos_589965465_doc.scr
6. doc_para firmar.rar
7. no confirmado 308853.scr
8. documentos para firmar 05.08.2015.scr.exe
9. acta de comprobación del 17082015.scr

Tal y como se puede observar todos hacen mención a documentos que el usuario debe abrir por alguna razón, describiendo estos en el cuerpo de mensaje como importantes, pero hay que tener en cuenta los posibles nombres que puede tomar el fichero.

Desde Kaspersky informan que se ha detectado que existen ciertos sitios web que también distribuyen la amenaza haciendo uso de exploits y aprovechando vulnerabilidades existentes en el navegador o alguno de los complementos que se ejecutan.

Shade elige qué archivos cifra

• De la misma forma que el nombre del archivo ejecutable que distribuye la amenaza no es el mismo, el troyano tampoco cifra el mismo tipo de archivos y elige cuáles son los elegidos en función a una lista de extensiones que posee. Una vez se ha realizado la acción, todo esto en segundo plano y sin que el usuario sea consciente, este procede a modificar el fondo de escritorio e informa al usuario mediante dos archivos .txt creados en el escritorio de que el equipo está infectado y que deberá abonar una cantidad de dinero para recuperar el acceso a los datos que se encuentran bajo el cifrado.
• Tal y como suele ser habitual, no recomendamos realizar el pago y es mejor recurrir a una copia de seguridad o bien restaurar el sistema operativo Windows a un estado anterior.

Fuente: Viruslist