Llegamos a ustedes gracias a:



Alertas de Seguridad

Nuevo ransomware Jaff

Exige pagos de 3.700 dólares

[15/05/2017] Los atacantes detrás de las muy exitosas campañas de ransomware Locky y Bart han regresado con una nueva creación: Un programa malicioso de cifrado de archivos llamado Jaff que pide a las víctimas pagos de alrededor de 3.700 dólares.

Al igual que Locky y Bart, Jaff se distribuye a través de correos electrónicos spam malicioso enviados por la botnet Necurs, según los investigadores de Malware bytes. Necurs primero apareció en el 2012, y es una de las botnets más grandes y de más larga duración en la actualidad.

De acuerdo a un análisis de abril realizado por los investigadores de IBM Security, Necurs se compone de unos seis millones de computadoras infectadas y es capaz de enviar lotes de millones de correos electrónicos a la vez. También es indirectamente responsable de un gran porcentaje del cibercrimen del mundo porque es el canal de distribución principal para algunos de los peores programas de ransomware y troyanos bancarios.

Es seguro decir que, puesto que Jaff está siendo distribuido por Necurs, llegará a muchos buzones de correo.

El correo electrónico observado hasta ahora intenta imitar los correos automatizados enviados por las impresoras: El asunto es simplemente una de las palabras copia, documento, escaneo, archivo o PDF, seguido de un número al azar.

El archivo adjunto es un archivo PDF llamado nm.pdf que tiene un documento de Word incrustado en él. Este segundo documento tiene macros maliciosas adjuntadas y contiene instrucciones para que los usuarios permitan que el código se ejecute.

Si se permite que las macros se ejecuten, ellas descargarán e instalarán el ransomware Jaff, el cual inmediatamente empieza a cifrar los archivos que coincidan con una larga lista de extensiones de archivo específicas. Después del cifrado, los archivos afectados tendrán una extensión .jaff para ellos.

El ransomware también crea dos archivos con instrucciones para realizar un pago de bitcoin para obtener un programa descifrador. El portal de pago está alojado en la red Tor y es visualmente idéntico al portal usado por el ransomware Bart, lo que sugiere una relación entre estas dos amenazas.

Si bien hay algunas similitudes con Locky y Bart, el ransomware Jaff usa una base de código diferente, por lo que es un programa independiente, según los investigadores de Malwarebytes.

Otro aspecto interesante es la cantidad de rescate de 2 bitcoins, o alrededor de 3.700 dólares, que es significativamente mayor que lo que piden la mayoría de los otros programas de ransomware.

Los usuarios siempre deben sospechar de los documentos no solicitados enviados a ellos por correo electrónico y nunca deben permitir la ejecución de contenido activo dentro de documentos a menos que puede verificar su fuente. La mejor protección contra el ransomware es tener una buena rutina de copias de seguridad que haga copias en un dispositivo de almacenamiento externo que no esté siempre conectado a la computadora.