En los últimos meses han ido apareciendo diferentes variantes del malware conocido como STOP ransomware, que ya ha infectado a miles de usuarios. Expertos en seguridad han notado un pico en la distribución de un nuevo tipo en particular, que puede encriptar los archivos de los ordenadores afectados y pedir a las víctimas que paguen un rescate para recuperarlos. En este caso, el nuevo canal de entrega parecen ser varios cracks que algunos usuarios descargan para activar software pirata; como juegos y herramientas de software profesionales.
Estos cracks son archivos ejecutables, generalmente para activar licencias de forma ilegal o eliminar la necesidad de utilizar el CD original del programa. Mucha gente concede a estas aplicaciones los permisos necesarios para acceder a su ordenador de forma voluntaria, a pesar de las advertencias habituales de antivirus; ya que la mayoría de los cracks suelen desencadenar estas alertas del sistema cuando se ejecutan.
En muchas ocasiones, estos cracks incluyen en su descarga e instalación herramientas de adware que instalan extensiones ad-serving (publicidad contextual) y ad-click (banners y botones para clicar) en los navegadores de los usuarios. Ahora, la aparición de STOP ransomware hace que la instalación de este tipo de archivos ejecutables presenten mayores riesgos. De momento los usuarios informan de infecciones provenientes de cracks de Photoshop, Windows, KMSPico y Cubase, pero podría afectar a más programas: a medida que se van ampliando las informaciones, se hace patente que la infección se ha extendido a través de varias webs de alojamiento de cracks.
Algunos indicadores de que tu equipo ha sido comprometido por STOP ransomware incluyen la presencia de la nota de rescate openme.txt y el hecho de que todos sus archivos tendrán ahora una extensión de archivo extraña en su nombre (.rumba parece ser la más habitual). Los delincuentes piden 980 dólares (unos 860 euros) para proporcionar a la víctima el software necesario para descifrar los archivos y una clave privada. De hecho, en algunos casos están ofreciendo descuentos del 50% a aquellos que se pongan en contacto con ellos en un plazo de 72 horas.
Recomendaciones en caso de infección
Como siempre es el caso con los ataques de ransomware, se recomienda que bajo ningún concepto se pague a los atacantes. Por un lado, no existen garantías de que recuperarás tus archivos, por otro estarás financiando futuros ciberataques. De manera excepcional, una de las medidas que puedes tomar es recurrir al descifrador creado por Michael Gillespie, un analista de seguridad, que ha dado buen resultado con extensiones. djvu,.tro, y .rumba. En este caso, las víctimas tienen que usar los identificadores personales, que se encuentran en la última línea de la nota de rescate, para obtener ayuda, un número que es único para cada infección.
En cualquier caso conviene señalar que, en líneas generales, se desaconseja la utilización de un equipo infectado. Con la forma de operar que tiene STOP ransomware, cualquier nuevo archivo creado en el sistema infectado también se cifrará pasado un tiempo, ya que el software malicioso crea una tarea programada en el Time Trigger de Windows, de manera que su presencia afecte todo el funcionamiento del equipo.
Fuente : Panda