El ransomware cifra el disco duro y está afectando a usuarios de Argentina, Brasil, Colombia y México.
Para infectar al equipo, el ransomware se vale del correo electrónico, al que adjunta un archivo de imagen infectado con un troyano, que al ser abierto ejecuta un proceso para conectarse a una servidor y descargar FileCoder, el mismo ransomware que ha hecho de las suyas mediante otras variantes existentes. Al ejecutarse FileCoder genera una llave RSA2, de 2048 bits, para empezar a cifrar los archivos del equipo.
Una vez cifrados los archivos, el malware envía la llave a un servidor remoto y al tiempo bloquea el acceso al computador, mostrando un mensaje al usuario con las instrucciones para su recuperación y por supuesto exigir el pago de una cuota, ahora en la moneda digital Bitcoin, en un dominio .onion, para lo cual el usuario debe usar la red TOR.
El usuario no puede acceder a los archivos ya que desconoce la llave para su descifrado, que sólo sabe el atacante y de lo que se vale para extorsionar al usuario. Generoso, el atacante concede un plazo de un mes al usuario para que realice el pago, aunque la cuota puede aumentar con el paso del tiempo. La extorsión al usuario víctima si quiere recuperar sus archivos inicia en los $1,000 USD, o su equivalente en Bitcoin, unos $2 Bitcoins, según el tipo de cambio vigente.
El BitCoin es una moneda digital criptográfica y descentralizada, que impide su rastreo, y que puede ser utilizada para compras en Internet.
No es recomendable ceder al intento de extorsión, pues se han dado casos con otros ransomwares donde el usuario que paga no recibe la llave, y la extorsión continúa. Lo recomendable es contar con respaldos de información y mantener éstos actualizados para recuperarlos en caso de sufrir este tipo de ataques o en situación de pérdida o daño de los datos, por ejemplo en un desastre.
De acuerdo con ESET, desde su aparición el 20 de marzo, el ransomware se ha propagado a más de 50 países y ha afectado a más de 15 mil usuarios latinoamericanos, entre otros de Argentina, Brasil, Colombia y México.
El ransomware llega justo en estos días en que estamos por recordar el Día Internacional del Respaldo, el próximo 31 de marzo, una medida sumamente importante para sensibilizar a los usuarios sobre la importancia de mantener respaldos o copias de seguridad de la información. Obtenerlos de forma periódica, de tal modo que permita la recuperación en caso de ser necesario, como podría ocurrir en caso de ser afectado por el ransomware del FileCoder.