• Tweet

Investigadores han descubierto que un gusano ransom de rápida propagación, procedente de Rusia, bloquea el acceso a los archivos de los usuarios, se encontró que por lo menos existen 2500 víctimas dispuestas a pagar para retomar el control de sus equipos.

El malware es identificado por Trend Micro como Worm_Rixobot.A, el cual, se comenta, ha estado propagándose en semanas recientes a través de sitios porno infectados, aplicaciones de mensajería instantánea y hasta dispositivos USB infectados, de ahí su designación como gusano, en lugar de troyano.

Después de tomar el control de la computadora del usuario, termina con una serie de programas de seguridad de Windows y bloquea el acceso a sitios web, entonces aparece una alerta en pantalla, la cual pide al usuario pagar en rublos rusos el equivalente a $12 dólares por medio del envío de un SMS a un número con tarifa premium, para después recibir la clave para desbloquear el equipo.

El monto involucrado, relativamente bajo y el uso de un canal simple de pago, puede explicar porqué este método de extorsión parece estar funcionando. De acuerdo con Trend, los servidores hackeados asociados con el gusano, generó en esta última campaña,un ingreso para los delicuentes de 901,000 rublos (alrededor de $29 500 dólares) en sólo cinco semanas, equivalente a cerca de 2500 personas que pagaron el rescate.

El número real de víctimas podría ser mucho mayor. La compañía también encontró que el archivo inicial que comienza la infección, fue descargado 137,000 veces sólo durante diciembre, la mayoría por usuarios en Rusia. Poco más de 3000 descargas fueron reportadas por usuarios en Reino Unido.

A diferencia de ejemplos recientes de ransomware como GpCode, Rixobot.A no recurre a técnicas complejas de bloqueo de archivos, con el fin de extorsionar con sumas de hasta $150 dólares a sus víctimas. Demandar sólo unos dólares, probablemente signifique que no tenga recursos para hacerlo. Muchas víctimas probablemente pagaron sólo para evitar el inconveniente.