Muchos de vosotros seguramente recordaréis este artículo en el que describía el gran aumento que se estaba detectando en algunos países de ataques de malware que se hacía pasar por diferentes cuerpos de seguridad. Por ello, este tipo de malware se ha conocido como “el virus de la Policía” y su objetivo principal (como es habitual) es robar dinero a los usuarios. Para cumplir sus objetivos intenta asustar a las víctimas, razón por la que este tipo de malware es conocido muchas veces como “scareware”.

Durante los últimos meses los ataques han evolucionado. Como hacerse pasar por la Policía no parecía ser suficiente, comenzaron a utilizar técnicas de ransomware, cifrando archivos del ordenador y exigiendo una cantidad económica a cambio de devolver el acceso a esos archivos. Básicamente han tomado esta funcionalidad del troyano PGPCoder, diseñado para cifrar archivos los cuales sólo libera una vez que la víctima paga el rescate a los ciberdelincuentes que lo crearon.

Las primeras versiones de este nuevo virus de la policía sólo cifraban archivos .doc, y el cifrado no era muy complejo realmente, por lo que era posible desbloquearlos sin necesidad de tener la clave. Sin embargo, los cibercriminales se dieron cuenta de que habían cometido un error y lanzaron una nueva versión. En esta ocasión se utilizaban técnicas más avanzadas de cifrado, de tal forma que la clave fuera imprescindible. Y no sólo eso, ya que la clave era diferente para cada equipo infectado, por lo que a menos de que alguien fuera capaz de acceder al servidor donde se almacenasen las claves, no habría forma de recuperar esos archivos. Además, el cifrado ya no era sólo de archivos .doc, algunas variantes incluían una lista de extensiones de archivos a cifrar, otras variantes contaban con una lista de exclusión para evitar “secuestrar” cualquier archivo crítico del sistema,  cifrando todos los demás archivos.

¿Cuánto más lejos pueden llegar? Al final, lo que estos ciberdelincuentes pretenden es asustar a los usuarios lo máximo posible, de tal forma que éstos paguen el rescate (la “multa”). La semana pasada encontramos una nueva variante, que curiosamente activaba la cámara web del equipo infectado. ¿Para qué? Han modificado la típica página de advertencia que venían utilizando hasta ahora:


La han sustituido por una nueva que incluye un cuadro que muestra la imagen tomada por la cámara web:

Como podéis ver, hay un marco donde se muestran las imágenes que está capturando la webcam en tiempo real, y una leyenda que dice “Grabación de video”. Sin embargo, realmente no está grabando las imágenes ni enviándolas a ningún sitio, simplemente muestra la imagen tomada por la cámara web. Por supuesto, esto el usuario no lo sabe y la mayoría de ellos entrarán en fase de pánico y pagarán lo antes posible para evitar seguir “siendo espiado por los cuerpos de seguridad”, como se les hace creer. La nueva variante no tiene función de cifrado de archivos, los cibercriminales deben haber pensado que incluir las imágenes de la webcam era suficientemente aterrador.