Sabemos que por definición, el ransomware es un tipo de malware muy diferente a un rogue. El primero atenta contra la disponibilidad de un recurso bloqueándolo para evitar ser accedido, solicitando una clave para poder disponer nuevamente del recurso comprometido. Mientras que el segundo, emite ventanas de alertas mostrando de forma exagerada supuestos problemas en el sistema operativo que en realidad no existen.

Sin embargo, que sean diferentes no dignifica que no sean "compatibles." Y el presente caso nuevamente lo demuestra.

Ransomware

Este malware es detectado por ESET NOD32 como una variante de Win32/LockScreen.EG y al momento de comprometer el sistema se encarga de bloquear el acceso al mismo a través de una ventana que ocupa la totalidad del escritorio de trabajo, mostrando un mensaje que intenta obligar al usuario víctima a comprar un rogue (en este caso Security Tool) para recibir la clave que permite recuperar el control del sistema operativo.

En este sentido, una de las funciones primarias del Laboratorio de Análisis e Investigación de ESET Latinoamérica es precisamente estudiar el malware. Durante ese metódico proceso pudimos establecer cuál es la clave necesaria para desbloquear la restricción de acceso al sistema (HerZamanUstte) y el sitio web al que se conecta para mostrar el formulario de compra:

Dominio y clave de desbloqueo

Luego de una situación similar, la primera y más importante inquietud que recae en el usuario es ¿cómo recupero mi sistema operativo? Y si nos guiamos por la amenaza, la respuesta es básicamente: "comprando otro malware".

Traslademos esta situación a un ambiente más crítico, como el de una empresa, e imaginemos una infección relativamente masiva con este tipo de malware dentro de una red LAN, simplemente por conectar el mismo dispositivo USB en varias computadoras. En este escenario podemos aplicar la misma pregunta aunque la respuesta seguramente sería muy distinta: "comprando otro antivirus", pero sin lugar a dudas no el ofrecido por el ransomware.

Este tipo de casos deja en completa evidencia la necesidad de contar con soluciones de seguridad antivirus como ESET NOD32, que detecta este tipo de códigos maliciosos de forma proactiva a través de su tecnología ThreatSense.

Jorge Mieres
Analista de Seguridad