Hitler en el Reichstag

Megalómanos ha habido en todas partes y en todos los ámbitos: desde Alejandro Magno, los conquistadores españoles, pasando por las ansias imperialistas del Reino Unido o los dictadores de la primera mitad del siglo XX. Ahora el impulso de los tiranos de tener todo bajo su puño de hierro y el de los cibercriminales se han unido en un malware que hará que tu ordenador se sienta como Polonia. Vamos, sólo falta que suene de fondo La Cabalgata de las Valkirias de Wagner mientras este maligno virus se apodera de tu ordenador y envía tus archivos a los campos de exterminio digitales del borrado automático.

Hace unos días que el investigador de AVG Jakub Kroustek descubrió un ransomware bastante peculiar llamado Hitler Ransomware. Este malware borra los archivos del usuario como resultado de un programa escrito con código malicioso.

Este nuevo tipo de ransomware se activa cuando el usuario hace doble clic en el binario infectado. Según podemos leer en Bleeping Computer este archivo ejecuta un proceso por lotes que, por así decir, "suelta" tres archivos llamados firefox32.exe, ErOne.vbs, y chrst.exe. Ahora describiremos qué hace cada uno.

Hitler habla con Robert Ley y Hermann GöringHitler habla con Robert Ley y Hermann Göring / Bundesarchiv editada con licencia CC BY-SA 3.0 Germany

Así empieza  la Noche de los Cristales Rotos con Hitler Ransomware

Una vez que el usuario ha hecho clic en el binario maligno y se ha infectado, firefox32.exe se copia a la carpeta de programas que arrancan al inicio para asegurar que el ransomware empieza a ejecutarse en cuanto entramos en Windows. ErOne.vbs muestra un mensaje de error cuando el usuario clica en el ejecutable original, haciéndole creer que el archivo contiene un error.

Por lo que respecta al archivo chrst.exe, se trata del ransomware en sí. Este archivo es el que muestra la nota de rescate en la pantalla del usuario, comienza el proceso de cifrado y establece un conteo de una hora para que pague el rescate si no quiere perder todos sus archivos.

A pesar de que en algunos medios como Softpedia se ha dicho que cifra los archivos del usuario, según se ha publicado en Motherboard ni siquiera lo intenta aunque diga que sí lo hace. Lo que sí manipula son las extensiones de los archivos en directorios determinados, borrándolas y mostrando una cuenta atrás que dura una hora.

Cuando el contador llegue a cero el archivo chrst.exe provoca que Windows muestre un pantallazo azul. Cuando el ordenador se recupera o el usuario reinicia el PC verá que todos los archivos que tenía en su perfil de usuario han sido borrados.

El IV Reich dura una hora y pide un precio ridículo

Como decíamos, el contador de tiempo de Hitler Ransomware sólo dura una hora. El precio que pide es comprar una tarjeta de Vodafone de 25 euros e introducir el código en el campo habilitado para ello en el mensaje de rescate. No es la primera vez que se ve algo así, ya que en otros timos similares se ha pedido a las víctimas que compren tarjetas de regalo de Apple o de Amazon.

Al pedir este rescate en lugar de un buen montón de bitcoins, se pueden sacar dos conclusiones básicas, de las cuales una la podemos dar casi por confirmada:

  • En primer lugar que no se trata de un cibercriminal experimentado, sino de un novato.
  • En segundo lugar que es un pequeño timo en lugar de una gran campaña de ransomware a gran escala, lo que se deduce por el tipo de rescate que pide.

Por los comentarios que se pueden encontrar en el código fuente de Hitler Ransomware, los analistas de Bleeping Computer determinan que es obra de un desarrollador germanoparlante. Esta noción se refuerza por el hecho de que pida un rescate en euros.

En dicho comentario se puede leer el siguiente texto donde el hacker se vanagloria de su destreza:

Das ist ein Test      besser gesagt ein HalloWelt      copyright HalloWelt 2016      :D by CoolNass      Ich bin ein Pro      fuer Tools für Windows

Que traducido viene a querer decir esto:

Esto es una prueba      mejor que un Hola mundo      copyright Hola Mundo 2016      :D by CoolNass      Soy un Pro      Herramienta para Windows

Esto no sólo certifica que se trata de alguien con poca experiencia, sino que posiblemente sea una persona de corta edad. A continuación puedes ver cómo funciona Hitler Ransomware.

Tus Aliados en la lucha contra el Eje

Como siempre tu mayor aliado es tu sentido común para no contraer ningún tipo de infección, si bien en ningún medio hemos visto cómo se puede infectar un ordenador con Hitler Ransomware. Si el sentido común falla, siempre puedes probar con distintas herramientas especializadas en eliminar este tipo de malware.

Por un lado tenemos Malwarebytes Anti-Ransomware, un programa provisto de una herramienta de eliminado de virus que básicamente actúa contra todo tipo de ransomware, ya sea CryptoLocker, el Virus de la Policía y demás. Esta herramienta anti-ransomware se encarga de monitorizar el sistema para detectar la presencia de estas amenazas. Desde un panel podemos controlar su actividad y conocer con detalle si existe algún peligro. En caso de haberlo se pueden poner en cuarentena los archivos o excluir aquellos que queramos porque sepamos, por ejemplo, que son falsos positivos.

También se puede usar otra herramienta como Kaspersky CoinVault Decryptor, que contiene más de 15.000 claves de cifrado usadas por este tipo de malware y que nos evitarán tener que pagar un cuantioso rescate. Para usarla tendremos que seguir una serie de pasos:

  • Toma nota de la lista de ficheros cifrados que te indica el ransomware.
  • Pasa un antivirus para eliminar cualquier rastro del malware.
  • Descarga y ejecuta CoinVault Decryptor.
  • Indica la ruta donde se encuentra el listado de ficheros cifrados.
  • Deja que la herramienta de Kaspersky haga todo el trabajo sucio.

Por último puedes usar otro programa llamado Anti Ransom, que se anticipa al daño que pueda causar cualquier ransomware en nuestro ordenador, monitorizando señuelos para el malware.

Bundesarchiv editada con licencia CC BY-SA 3.0 Germany

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?