Gaming Club
Regístrate
españaESPAÑAméxicoMÉXICOusaUSA
Betech
Ciencia y tecnología

MALWARE

Magniber, el ransomware que se oculta bajo falsas actualizaciones de Windows 10

Una campaña masiva de malware iniciada este mes de mayo se está distribuyendo bajo un update falso para Windows.

Cesar Otero
Actualizado a
Magniber, el ransomware que se oculta bajo falsas actualizaciones de Windows 10

Un malware, además de tipo Ransomware, camuflado bajo una actualización de Windows 10 y encima dirigido a estudiantes y consumidores en vez de a grandes empresas u objetivos gubernamentales. ¿Se puede ir a más mala idea? Y es que un grupo de ciberdelincuentes está expandiendo una variedad de 'ransomware' llamada Magniber a través de falsas actualizaciones del sistema operativo de Microsoft.

Magniber Ransomware

El site BleepingComputer ha recibido una oleada de solicitudes de ayuda en relación con una infección de ransomware -un tipo de virus que te secuestra el ordenador a cambio de pagar un rescate al cibercriminal por quitarlo- dirigida a usuarios de todo el mundo, en una campaña que al parecer ha comenzado hace un mes, a inicios del pasado abril. Una campaña que emplea el ransomware Magniber tras instalar lo que se cree que es una actualización acumulativa o de seguridad de Windows 10.

Estas actualizaciones se distribuyen bajo varios nombres, siendo los más comunes:

  • Win10.0_System_Upgrade_Software.msi [VirusTotal]
  • Security_Upgrade_Software_Win10.0.msi

Otras descargas simulan ser actualizaciones acumulativas de Windows 10, utilizando artículos falsos de la base de datos, como:

  • System.Upgrade.Win10.0-KB47287134.msi
  • System.Upgrade.Win10.0-KB82260712.msi
  • System.Upgrade.Win10.0-KB18062410.msi
  • System.Upgrade.Win10.0-KB66846525.msi

Aunque no está 100% claro cómo se promueven las falsas actualizaciones de Windows 10, las descargas se distribuyen desde falsos sitios de warez y crack. Una vez instalado, el ransomware borrará las instantáneas de volumen y cifrará los archivos. Al cifrar los archivos, el ransomware añadirá una extensión aleatoria de 8 caracteres, como .gtearevf. El ransomware también crea notas de rescate llamadas README.html en cada carpeta que contienen instrucciones sobre cómo acceder al sitio de pago Magniber Tor para pagar el rescate.

Falsa actualización de Windows 10

El sitio de pago de Magniber se titula "My Decryptor" y permite a la víctima descifrar un archivo de forma gratuita, contactar con el "soporte" o determinar el importe del rescate y la dirección de bitcoin en la que las víctimas deben realizar el pago. Según las páginas de pago vistas por BleepingComputer, la mayoría de las peticiones de rescate han sido de aproximadamente 2.500 dólares o 0,068 bitcoins por liberar el terminal infectado.

Magniber se considera seguro, lo que significa que no contiene ninguna debilidad que pueda ser explotada para recuperar archivos de forma gratuita. Lo malo, según BleepingComputer es que “desgraciadamente, esta campaña se dirige principalmente a estudiantes y consumidores más que a víctimas empresariales, lo que hace que la petición de rescate sea demasiado cara para muchas víctimas”.