Cuando los ataques de ransomware adelantan la celebración de Halloween

Cuando los ataques de ransomware adelantan la celebración de Halloween

Aprovechamos que hoy se festeja Halloween para recordar algunas familias de ransomware que utilizaron en sus ataques personajes de películas de terror (en su mayoría) para que a las víctimas no tengan dudas de que están viviendo una pesadilla.

Aprovechamos que hoy se festeja Halloween para recordar algunas familias de ransomware que utilizaron en sus ataques personajes de películas de terror (en su mayoría) para que a las víctimas no tengan dudas de que están viviendo una pesadilla.

Conocida como Víspera de Todos los Santos, Noche de Brujas o simplemente por su término en inglés Halloween, esta celebración de origen celta que se festeja todos los 31 de octubre y que se ha extendido a distintas partes del mundo, era en su raíz más profunda una festividad que tenía que ver con el fin de la época de cosecha y su transición hacia la época oscura por ser el fin del verano en el hemisferio norte. Aunque en una etapa moderna y producto de la influencia del cristianismo, Halloween se convirtió en la Víspera de Todos los Santos y más acá en el tiempo en una celebración en la que se suelen utilizar disfraces que hacen alusión al terror y a las brujas,  junto con una gran cantidad de actividades que principalmente disfrutan los más pequeños.

Y para sumarnos a esta fiesta popular, desde WeLiveSecurity nos pareció interesante repasar algunas familias de ransomware que con sus ataques provocan profundas pesadillas que afectan la realidad de personas y empresas, y que a la vez utilizaron personajes de películas de terror o que transmitían cierto grado de temor en el contexto de sus películas.

Ransomware Anabelle

Comenzamos por el ransomware Anabelle. Catalogado como una pesadilla, este ransomware lleva su nombre en honor a la película de terror Anabelle. Si bien no busca obtener un beneficio económico a través de sus ataques, hace mucho daño. Esta familia entra en la categoría de amenazas mediante las cuales sus desarrolladores intentan demostrar sus habilidades.

¿Cómo opera? Al infectar a sus víctimas cifra sus archivos con la extensión .ANABELLE; desactiva Windows Defender y el firewall; intenta propagarse hacia unidades USB, y por si fuera poco sobrescribe el registro de arranque maestro con un particular cargador de arranque. Pero por suerte para las víctimas, este ransomware cuenta con un descifrador que puedes descargar desde el sitio nomoreransom.

Imagen que despliega el ransomware tras infectar a sus víctimas y que utiliza el personaje de la película de terror Anabelle.

Ransomware Jigsaw 

Diseñado en 2016, este ransomware utiliza una imagen del personaje principal (Billy) de la película Jigsaw al momento de desplegar su mensaje a las víctimas. Como la mayoría de los ransomware, Jigsaw cifra imágenes, videos, documentos y toda clase de archivos. Una de las particularidades de este ransomware y que lo convierte en una pesadilla aún mayor es que si la víctima se demora en pagar por el rescate, por cada hora que pasa se van eliminando archivos, lo cual genera mayor desesperación.

En su mensaje, Jigsaw dice que durante las primeras 24 horas solo se eliminarán algunos archivos, pero pasado ese tiempo, se eliminarán miles de archivos por cada día que pase sin que la víctima realice el pago. Además, en caso de que el usuario intente cerrar el sistema o apagar la computadora, Jigsaw eliminará 1000 archivos al iniciar nuevamente a modo de castigo.

Por suerte para sus víctimas, existe un descifrador gratuito que puedes descargar desde el sitio nomoreransom.

Imagen del ransomware Jigsaw con el mensaje para sus víctimas

Ransomware Killer Locker 

Al igual que Jigsaw, este ransomware fue detectado en 2016 y según fuentes, se estima que puede ser una variante de este último. Un síntoma de esto es que luego de infectar a la víctima, modifica la imagen de fondo que tiene en su computadora con una imagen similar a la de Jigsaw, pero en el caso de Killer Locker, si bien no se trata de un personaje conocido de una película de terror, se trata de un payaso diablólico con el que más de una víctima habrá soñado luego de infectarse.

Este ransomware cifra archivos con la extensión xls, xlsm, xlsx, jpg, docx, pdf, doc y docm de la máquina infectada y agrega la extensión .rip a cada archivo; despliega un mensaje en portugués y otorga 48 horas para que las víctimas se comuniquen con los cibercriminales para hacer el pago por el rescate de sus archivos.

Hasta hace un tiempo, fuentes aseguran que Killer Locker estaba a la venta en la dark web para quien desee adquirir como servicio.

Imagen del diabólico payaso que pone como fondo de pantalla en las computadoras infectadas.

Ransomware Nagini

También detectado por primera vez en 2016 al igual que los dos anteriores, este ransomware llamado Nagini modifica el fondo de pantalla del escritorio de las máquinas infectadas con una imagen terrorífica de Voldemort; personaje de la popular serie de Harry Potter.

Según información pública sobre este ransomware, al momento de ser detectado aún estaba en desarrollo y solo cifraba archivos con la extensión .doc, .docx, .ppt, pptx, .xls, .xlsx, .bmp, .png, .jpg, .jpeg, .exe, y .pdf. Por otra parte, una particularidad de Nagini es que a diferencia de la mayoría de los ransomware que exigen un pago en Bitcoins, en este caso solicitan el ingreso del número de una tarjeta de crédito.

Imagen de Voldemort que inserta en la máquina infectada el ransomware Nagini

Ransomware Globe 

Aparentemente, 2016 fue un año en el que los desarrolladores de ransomware eligieron utilizar imágenes de personajes o películas populares en sus ataques. Al igual que vimos en los casos anteriores, el ransomware Globe no es la excepción y utiliza una imagen de la película de terror “The Purge: Election Year”, que en Hispanoamérica se conoce como “12 horas para sobrevivir: El año de la elección” y en España como “Election: La noche de las bestias”.

Al igual que la mayoría de los ransomware, al infectar a sus víctimas cifra sus archivos y despliega una nota con el pedido de rescate para que el usuario afectado pueda recuperar sus archivos.

Para el ransomware Globe también existe un descifrador gratuito publicado en nomoreransom.org.

Imagen de la película “The Purge: Election Year” utilizada por el ransomware Globe.

Ransomware Onyx

En el último lugar de esta lista de familias de ransomware que utilizaron personajes, principalmente de películas de terror, llegamos a el ransomware Onyx. Esta familia utiliza para mostrar el mensaje a la víctima una imagen del misterioso personaje que aparece en la película “El viaje de Chihiro”. Si bien esta no es una película de terror, aquellos que vieron esta popular película animada sabrán el lado oscuro que representa este personaje conocido como “No Face” o “sin rostro”.

En el caso del ransomware Onyx, detectado en 2016 al igual que varios de los anteriores, se distribuía en ese entonces a través de anuncios de publicidad y correos de spam, entre otros. Con un mensaje escrito en georgiano, lo que daría la pauta de que va dirigido a usuarios de dicho país, este malware solicita un pago de 100 dólares para restaurar los archivos comprometidos.

Imagen del personaje “No face” de película “El viajde de Chihiro” utilizada por el ransomware Onyx.

Desde WeLiveSecurity deseamos a todos una feliz celebración de Halloween y recomendamos hacer un uso responsable y seguro de la tecnología para evitar situaciones angustiantes como las que se viven en las películas de terror.

Discusión