Actualizar Windows 10 es algo imprescindible si queremos estar al día en seguridad. El sistema operativo se actualiza solo para corregir vulnerabilidades y añadir funciones, pero hay quien piensa todavía que algunas actualizaciones hay que instalarlas manualmente. De ello se aprovecha un nuevo malware que alerta sobre una necesidad urgente de instalar un parche, pero en realidad nos está instalando un ransomware.
Un email afirma necesitar instalar una actualización en Windows, pero es un ransomware
Identificar un email falso de uno real es relativamente sencillo, pero SpiderLabs ha descubierto multitud de infecciones a través de estos emails falsos que tenían como asunto «Install Latest Microsoft Windows Update now!» o «Critical Microsoft Windows Update!». Nada más recibir el email habría que dudar porque Microsoft no envía las actualizaciones a través de emails de esa forma.
El texto del email sólo cuenta con una línea de texto donde además las dos primeras letras aparecen en mayúscula, haciéndonos dudar aún más de su veracidad. En él, se dice «Por favor, instala la última actualización crítica de Microsoft adjunta en el email». Esta es la segunda alerta, ya que es imposible que nos adjunten una actualización en el email.
En los archivos adjuntos encontramos un archivo en formato .jpg (b1jbl53k.jpg), pero que en realidad es una herramienta de descargar .net que introduce el malware en el ordenador. Cuando hacemos click, se descarga un ejecutable llamado bitcoingenerator.exe, obtenido de una página de GitHub de alguien llamado mistertbc2020, y que ya ha sido borrado.
El ejecutable instala el ransomware Cyborg, que como todos, cifra todo el contenido del ordenador cambiándolos a la extensión .777. El malware deja una copia de sí mismo en la raíz de la unidad principal llamado «bot.exe» en formato oculto, además de un archivo llamado Cyborg_DECRYPT.txt donde piden 500 dólares en bitcoins para descifrar los archivos, teniendo que enviar el justificante del pago a una dirección de correo de yandex.
Cualquier persona puede crear este ransomware con facilidad
El nivel de especialización del creador de este malware es muy bajo, ya que al parecer siguió los pasos para su creación a través de un video de YouTube llamado Cyborg Builder Ransomware V1.0 [ Preview free version 2019 ], que contenía el enlace al ransomware alojado en GitHub.
Esa cuenta de GitHub contenía dos repositorios. El primero era el Cyborg-Builder-Ransomware, que tenía los archivos necesarios para crear el ransomware. El segundo, llamado Cyborg-russian-version, era una versión rusa alojada en otra web. Ambos repositorios llevaban sólo disponibles unos pocos días en la plataforma.
Como vemos, cualquier persona que se haga con el compilador puede crear su propio ransomware a medida con relativa facilidad, creando su propia interfaz y distribuyéndolo de la forma que prefiera. Por ello, les recomendamos que tengan cuidado como siempre con todos los emails que recibes y sus archivos adjuntos, ya que muchos de ellos al ser simples JPG saltan el proceso de verificación de los servicios de alojamiento y pueden acabar entrando en tu ordenador.