Un nuevo ransomware está rondando los ordenadores, se llama GoldenEye y es la evolución del ataque conocido como Petya, tiene un particular funcionamiento y es que su campaña de distribución echa mano de una solicitud de empleo falsa, su tarea no es llegar a las personas, sino penetrar las redes empresariales por medio de los departamentos de recursos humanos.
La estrategia utilizada para el ransomware GoldenEye es bastante hábil debido a que las organizaciones no pueden evitar abrir los correos de terceros con archivos adjuntos como currículums de aspirantes, lo que facilita la infección. Una vez que se ha producido, el rescate comienza por un monto de 1,3 BitCoins que equivale aproximadamente a 950 euros.
Ransomware: qué es, cómo funciona y cómo evitarlo
El despliegue en Europa del ransomware GoldenEye inició en las empresas de Alemania haciendo uso de un correo electrónico de búsqueda de trabajo. El mensaje supuestamente procede de un candidato y contiene dos anexos.
El primero de los ficheros del GoldenEye es un archivo pdf que incluye una carta de presentación, sin ningún elemento peligroso incorporado, y su objetivo es transmitir al receptor del mensaje una falsa sensación de seguridad, luego está un adjunto que se trata de un archivo Excel con macros peligrosos desconocidos para el receptor.
El archivo Excel contiene una imagen de una flor con el texto “loading” en su parte inferior, y un texto en alemán pidiendo a la víctima que autorice el contenido de forma que las macros puedan ejecutarse. El procedimiento siempre será muy parecido, comienza el asunto con el nombre del “candidato” y la palabra “solicitud” en alemán (Bewerbung).
Así funciona el ransomware GoldenEye
Cuando un usuario hace clic en “Enable content”, el código dentro de la macro se ejecuta, e inicia el proceso de encriptado, negando al propietario el acceso a sus ficheros y así ya estará infectado con Goleen Eye.
GoldenEye incorpora entonces aleatoriamente una extensión de 8 caracteres a cada archivo cifrado, luego de que toda la información haya sido codificada, muestra la nota “YOUR_FILES_ARE_ENCRYPTED.TXT”. A continuación, fuerza al equipo a reiniciarse y comienza a encriptar el disco duro.
Mientras que este proceso se está realizando, una falsa pantalla informa de que el ordenador se está reparando. A continuación aparece una nota de rescate, similar a la que se veía con el ransomware Petya.
Periodista, amante de las redes sociales y de la tecnología, dad´s since 2015.
