Investigadores descubrieron un nuevo ransomware que secuestra los archivos de la víctima, pero que tiene una particularidad: lo que exigen los cibercriminales para liberar los archivos. Así lo asegura un reporte publicado por Bleeping Computer que hace referencia a una investigación realizada por MalwareHunterTeam, quienes explican que una vez que se ejecuta, este ransomware ─llamado “PUBG Ransomware” y que es detectado por ESET como MSIL/Filecoder.HD- cifra los archivos y carpetas ubicados “solamente” en el escritorio del usuario y les agrega la extensión .PUBG.

Luego, se despliega una imagen en la pantalla que contiene un mensaje de rescate. Resulta que, para poder liberar los archivos de la víctima, todo lo que quiere este ransomware benigno es que el usuario dedique una hora a jugar al PlayerUnknown’s Battlegrounds, un juego más conocido como PUBG que explica también la razón del nombre de este ransomware.

Si bien la nota de rescate dice eso, se descubrió que con solo correr el ejecutable asociado a PUBG por tres segundos es suficiente para activar el descifrado de los archivos.

De cualquier manera, si no estás interesado en siquiera tocar el juego, el ransomware parece dejar libre al usuario: el mensaje de rescate incluye el “código de restauración”, aparentemente sin exigir nada a cambio.

Mensaje de rescate (fuente: Bleeping Computer)

Un análisis mostró que el ransomware mantiene registro de los procesos que se ejecutan en la computadora y comprueba si se ejecuta un proceso llamado “TsIGame”. Aparentemente, TslGame se dispara cuando PUBG se ejecuta, permitiéndole al ransomware determinar si la víctima está jugando o no. De momento no está claro cómo se propagó este ransomware.

En nuestro reporte de mitad de año publicado en 2017, donde nos referimos al escenario de la ciberseguridad, hemos reportado acerca de otro ransomware que demandaba que el usuario corra un juego. Esa creación, llamada “Rensenware”, requería que la víctima obtenga un elevado puntaje en un juego japonés para PC para que sus archivos finalmente sean descifrados y queden libres.

A pesar de lo curioso del caso, no debemos perder de vista la magnitud que tiene una amenaza como el ransomware en el presente. Campañas de no hace mucho tiempo mantienen latente en la memoria cuánto daño pueden causar las campañas de extorsión.

El experto investigador que colabora con ESET, David Harley, es muy preciso al señalar que este incidente no debe ser tomado a la ligera, “mientras que se ha hecho referencia a este programa como algo que podría ser simplemente una broma, no se trata de algo tan gracioso”. Para empezar, “jugar” con los datos de una víctima podría derivar en algo terriblemente malo, sobre todo en casos como estos donde no parece ser un programa impecablemente codificado. Esto lo hemos visto varias veces en el apogeo del virus, cuando algunos malware escritos por criminales con poca experiencia presentaban efectos involuntarios y negativos. En cualquier caso, la aparición de un mensaje de este tipo en la computadora de una víctima podría generar serias preocupaciones, sobre todo si no entendieron qué fue lo que pasó. En mi opinión, considero que esta actividad sería penalizada en la mayoría de las jurisdicciones, ya que implica un acceso y una modificación no autorizada. El hecho de que no tener una intención maliciosa no quiere decir que no deba considerarse como algo serio. La próxima “broma” de este tipo podría resultar aún menos graciosa.