¿Has recibido un correo con actualizaciones de Windows 10 supuestamente urgentes? Entonces tenemos una noticia para ti: no abras el correo y bórralo de inmediato. Es más que probable que forme parte de una campaña que usa software malicioso para infectar ordenadores con un virus ransomware.
Concretamente, este virus se llama Cyborg y es un ransomware similar al que sufrieron empresas españolas como La Ser. Esta campaña se basa en correos electrónicos hablando de una actualización de Windows urgente. Dichos correos están siendo enviados en pleno proceso de actualización a la Windows 10 November Update, liberada hará pocas semanas.
Esta vez han sido los inspectores de seguridad de SpiderLabs de Trustwave los que han descubierto este hecho. Si has recibido este correo o uno similar, te encomendamos a que lo borres de inmediato y no descargues nada de él.
El correo con actualizaciones de Windows urgentes que infectará tu ordenador
El correo electrónico enviado tiene como asunto "¡Instala la última actualización de Microsoft Windows ahora!". Hay variantes que cambian un par de palabras, quedando como "Actualización crítica de Windows". Esto de por sí debería ser un indicativo sospechoso, ya que Windows nunca envía actualizaciones por correo electrónico. Sí lo hace a través de Windows Update, su plataforma de actualizaciones integrada en el mismo sistema.
Por si esto fuera poco sospechoso, el contenido del correo hace saltar todas las alarmas. Solo hay una línea: "Instale la última actualización crítica de Microsoft adjunta a este correo electrónico". El archivo adjunto tiene una extensión .jpg, pero no es una imagen sino un archivo ejecutable (además, las actualizaciones no funcionan a través de jpgs).
Pero, ¿qué ocurre si descargamos el ejecutable? El archivo abre una descarga de software malicioso de .NET que infecta el PC con ransomware. El ransomware es un tipo de virus que se caracteriza por "secuestrar" nuestros archivos a cambio de dinero, usualmente en forma de criptomoneda con la amenaza de que los borrará todos. Esta variante, Cyborg, es especialmente peligrosa por su naturaleza.
El ejecutable oculto en el mail descarga un archivo llamado "bitcoingenerator.exe" de una cuenta de GitHub con el nombre misterbtc2020. Al igual que el archivo adjunto, este es un malware compilado .NET: Cyborg. Cyborg, una vez llega al sistema, cifra todos los archivos de este añadiendo su propia extensión a los archivos, 777. Así, quedarán bloqueados ante el uso de programas.
Una vez infectado el sistema el ransomware deja un archivo de texto "Cyborg_DECRYPT.txt" en el escritorio. Este detalla los pasos a seguir para pagar el rescate, aunque no valdrá de nada. Cyborg dejará una copia de sí mismo llamado "bot.exe" oculta en la raíz de la unidad infectada. Por lo tanto, incluso si pagamos volveremos a sufrir un bloqueo de ransomware.
En plena investigación los investigadores de Trustwave buscaron el nombre de archivo original del ransomware que obtuvieron y realizaron una búsqueda en VirusTotal. Descubrieron que existía un generador en línea de este ransomware y de otras 3 muestras de este. También encontraron una cuenta en GitHub que contenía un repositorio con los binarios del generador de ransomware, así como un segundo repositorio con un enlace a la versión rusa del mismo generador alojado en otro sitio web.
Si recibes un correo de esta índole, los pasos a seguir son simples: no abras el correo ni pinches en ningún enlace de este. Borra el correo electrónico de inmediato y revisa que no haya descargado nada en el sistema. Te recomendamos pasar el antivirus al sistema en caso de que notes algo.
Además, si has sufrido un ataque de ransomware, es importante que no cedas y evites pagar el rescate, ya que además de fomentar estas prácticas no servirá de nada. Recordemos: Cyborg crea una copia de sí mismo en el sistema, por lo que aunque pagues es muy probable que sufras otro ataque.