Ransomware infecta a usuarios a través de instalaciones de TeamViewer

Publicado: 23 Marzo 2016, 09:40
por Cazador


Varios usuarios han notificado que han sufrido un ataque Ransomware en las ultimas semanas. Se trata de una nueva familia Ransomware que fue descubierto en las últimas semanas, que infecta a los ordenadores de los usuarios a través de las instalaciones de TeamViewer mal sujeta y luego encripta todos los datos, añadiendo la extensión "suprise" a todos los archivos.

En un primer momento, los usuarios se sorprendieron al encontrar sus archivos bloqueados y sin acceso, con tres nuevos archivos añadidos a sus escritorios. En las notas del rescate, se informa al usuario de que sus archivos se cifran, y que para recuperarlos, las víctimas deben ponerse en contacto con el autor ransomware a través de dos direcciones de correo electrónico.

En las últimas semanas se ha detectado un nuevo Ransomware denominado Surprise que ha podido infectar equipos con el servicio TeamViewer instalado

El ladrón estaba pidiendo 0,5 Bitcoin (unos 200 dólares), pero dijo que, dependiendo del contenido de los archivos cifrados del usuario, el rescate muy fácilmente podría llegar a 25 Bitcoin (casi unos 10.000 dólares) si era necesario.

Técnicamente, el ransomware no tenia nada especial frente a las otras familias cripto-ransomware que recientemente han afectado a Internet. El llamado Ransomware Surprise utiliza un algoritmo AES-256 para cifrar archivos, y luego RSA-2048 para asegurar las claves de cifrado de cada archivo con una llave maestra que fue cargado en el servidor C&C.

Algunas de las victimas se han dado cuenta de que todos ellos tenían instalado TeamViewer, y al ir a buscar los registros de la aplicación, descubrieron que alguien accedió a su ordenador a través del servicio de TeamViewer, el cual descargo el archivo suprise.exe (el instalador del ransomware ), y posteriormente lanzando la ejecución del mismo, comenzando a cifrar todos sus archivos.



El Ransomware esta dirigido cifrar unas 474 extensiones de archivo diferentes y utiliza archivos por lotes para eliminar instantáneas del disco duro, haciendo que el proceso de auto-recuperación sea imposible, a menos que el usuario almacene los archivos afectados en una unidad externa de copia de seguridad o backup externo.


Actualización recibida desde el soporte de TeamViewer

Desde el soporte oficial de TeamViewer nos han aclarado que no existe ninguna violación de la seguridad del producto TeamViewer. No obstante nos indican que se recomienda agregar otra capa de seguridad mediante el uso de una contraseña única y una autenticación de 2 factores.

El problema de infección puede haberse producido por un fallo en las contraseñas o claves utilizadas por los usuarios del servicio TeamViewer que no cumplían con las recomendaciones indicadas.

Fuente: Tripwire

Publicidad