![Cómo publicar cortos de YouTube desde la PC](/f/a53f8d54ecb2df5fc3f8c112d5074a57.jpg?width=100&height=100)
Todos sabemos muy bien que el ransomware se ha convertido en uno de los tipos de malware más peligrosos de los últimos meses. Hemos visto casos que han afectado a importantes empresas de todo el mundo. Sin embargo, ahora, según los últimos informes, un ransomware falso ha afectado a las empresas financieras en América Latina y el ransomware falso se conoce como KillDisk.
El ransomware se ha convertido en uno de los tipos de malware más peligrosos de los últimos meses. Hemos visto casos que han afectado a importantes empresas de todo el mundo. Como sabemos, los ciberdelincuentes secuestran los archivos y carpetas de los usuarios. A cambio, piden un rescate económico. En este artículo vamos a hablar de KillDisk, un malware que se hace pasar por un falso ransomware y que está afectando principalmente a entidades financieras.
KillDisk, convertido en un ransomware falso
Realmente es una nueva versión del malware KillDisk. Su función es borrar discos duros. Sin embargo, en esta ocasión, esta variante es transmitida por un ransomware. Este ransomware falso elimina deliberadamente el disco duro, pero también incluye una nota de rescate. Un intento de engañar a la víctima para que piense que se trata de un ransomware y que, si paga, recuperará sus carpetas.
KillDisk es uno de los tipos de malware más letales. El borrado de discos duros es su función. Algo que obviamente perjudica mucho a los usuarios. Ha sido utilizado principalmente por grupos de ciberespionaje, como Telebots.
Este es el mismo grupo que creó el malware Sandworm que atacó equipos industriales en los Estados Unidos. Además, el malware BlackEnergy que se utilizó en ataques contra la red eléctrica de Ucrania y el ransomware NotPetya que afectó a muchas empresas en junio de 2017.
KillDisk se desarrolló inicialmente como un malware de borrado de disco que se implementó en las últimas etapas de un infección, por lo que los atacantes podrían usarlo para ocultar sus huellas dactilares limpiando discos y destruyendo todos los datos forenses. evidencia.
Este fue el objetivo principal de KillDisk cuando se utilizó junto con el malware BlackEnergy durante los ataques de Telebots a la red eléctrica de Ucrania en diciembre de 2015 y diciembre de 2016.
A finales de 2016, KillDisk recibió un lavado de cara y comenzó a hacerse pasar por ransomware en ataques contra bancos ucranianos. Poco después se descubrió una variante de Linux, que se utilizó contra los mismos objetivos.
Ahora, Trend Micro informa sobre nuevos ataques de KillDisk. La compañía dice que ha detectado una nueva versión, pero los cambios son mínimos en comparación con los ataques anteriores.
La nota de rescate sigue ahí, así como el disco borra funciones. Lo único que ha cambiado son los objetivos, con KillDisk desplegado en las redes de firmas financieras en Latinoamérica, lejos de los objetivos anteriores de Ucrania donde se detectó malware en los últimos tres años.
Por el momento, Trend Micro no dijo si estos ataques más recientes fueron llevados a cabo por el equipo de TeleBots, o por algunos imitadores que intentan engañar a los investigadores y engañarlos.
Pero como en ataques anteriores, los investigadores también notaron que KillDisk no era el malware principal desplegado.
Según los investigadores, KillDisk, una vez que ingresa a la computadora, se carga en la memoria, borra los archivos y cambia el nombre. Luego, sobrescribirá los primeros 20 sectores del Master Boot Record (MBR) de cada dispositivo de almacenamiento con 0x00 bytes.
Después de eso, reescribirá los primeros 2800 bytes de cada archivo con los mismos 0x00 bytes en cada unidad de almacenamiento fija y extraíble. Los únicos archivos que permanecen intactos son los archivos y carpetas que se encuentran en los siguientes directorios, todos relacionados con las operaciones del sistema operativo: -
Posteriormente inicia un temporizador de 15 minutos y mata los siguientes procesos, que son fundamentales para el sistema operativo. Esto hace que la computadora se reinicie sin la opción del usuario: -
Una vez que se reinicia el sistema, el usuario no podrá usar su computadora a menos que repare los registros MBR dañados. Cuando un administrador del sistema investiga, los escenarios más comunes son que encontrarán la nota de rescate y creerán que el sistema fue atacado por un ransomware.
Entonces, ¿qué opinas sobre este ransomware falso? Simplemente comparta todas sus opiniones y pensamientos en la sección de comentarios a continuación.