lunes, 16 de diciembre de 2019
Un malware es capaz de reiniciar Windows en modo seguro para evitar el antivirus
Un equipo de investigación conjunto de SophosLabs y Sophos Managed Threat ha localizado un peligroso ransomware (un tipo de malware dedicado al secuestro de sistemas) denominado Snatch capaz de reiniciar ordenadores Windows en modo seguro antes de iniciar el cifrado de todos los datos del usuario. Gracias a esta maniobra y según los investigadores, Snatch es capaz de evitar el escaneo de los antivirus tradicionales.
Los creadores de Snatch son conscientes de las vulnerabilidades de seguridad que implica un reinicio en modo seguro y lo desapercibido que puede pasar para usuarios con poca experencia, que pueden pensar que simplemente se trata de un error del sistema operativo. El malware usa una clave del Registro de Windows para programar el proceso de cifrado, que comienza tras forzar el reinicio y sin que el usuario pueda hacer nada por evitarlo.
Como cualquier otro ransomware (del inglés ransom «rescate» y ware de «software»), Snatch infecta y cifra con una compleja contraseña todos los archivos del ordenador. Después, solicita un rescate para recuperarlos, que normalmente es abonado a través de la Dark Web y utilizando una criptomoneda.
Aunque el malware ya fue descubierto hace un año por este equipo de investigación, no ha sido hasta hace unos días cuando han detectado que le han agregado la capacidad de reiniciar. Snatch incorpora un ladrón de datos junto a otras funciones utilizadas por administradores de sistemas y de seguridad para probar la capacidad de resistencia de sus soluciones. En el siguiente vídeo podéis ver cómo funciona:
El equipo de Sophos asegura que Snatch no se ha hecho muy popular porque sus autores nunca quisieron apuntar hacia usuarios domésticos (algo que, por otra parte, hubiera hecho saltar las alarmas mucho antes). Localizaban cuidadosamente las empresas a las que atacar entre grandes corporaciones y organismos gubernamentales, con el objetivo de conseguir el máximo dinero posible por el rescate de los datos robados.
vía: Fossbytes
Saludos.
Suscribirse a:
Enviar comentarios
(
Atom
)
No hay comentarios :
Publicar un comentario
Por favor, escribe adecuadamente y se respetuoso. Gracias.