Quitando el molesto Ransomware
En los ultimos meses he tenidos varias visitas de personas las cuales han sido infectadas con el malware "Ransomware", el cual restringue el acceso a la PC, mediante una pantalla como la siguiente:
Hay varias presentaciones de este malware, aca en México te dice que el trafico de toda tu PC desde tu ubicación ha sido analizada y se han encontrado con que visitas sitios de pornografía infantil, por lo cual debes de realizar un deposito de cierta cantidad de efectivo en distintos establecimientos, una vez realizado el pago ingresas el código y podrías ingresar de nuevo a tu PC.
Esto no es mas que una mentira y un aviso de que tu PC ha sido comprometida, por un Ransomware, el cual trabaja de la siguiente manera:
Para comenzar en el troyano es distribuido como DLL, ya sea por medio de regsvr32.exe o rundll32.exe, a este ultimo se le envia el parámetro DLL y una funcion que este dentro. Ya una vez que la PC ha sido infectada, se copia al startup de la PC con una extensión .exe cuando en realidad sigue siendo una .DLL donde introduce un .Ink que hace enlace con la .DLL, eso lo hace el malware para engañarnos del contenido del archivo y aparte que quede funcionado cuando accese cualquier usuario y en safe mode.
La final de infectar la maquina con DLL, la respuestas mas sencilla es para engañar al antivirus por que al venir de rundll32.exe y esto pone a salvo al troyano.
El comportamiento del malware que normalmente sucede es que internet explorer lo trabajan en modo kiosko tratando de restringuir lo mas posible de tu PC, pero no lo consigue del todo, una forma sencilla de eludir ransomware para accesar a la maquina es corriendo un explorer.exe o en algunas ocasiones presionando la tecla de windows.
Si tienes duda en como trabaja el modo kiosko de internet explorer andate a la siguiente ruta
C:\Program Files\Internet Explorer>
Y corre iexplore.exe -k
Asi que ya saben si alguien los intenta pillar con este tipo de malware realmente es sencillo salir de el y lo mejor de todo ya saben que no deben de realizar ningún pago, por que no es mas que una mentira.
0 comentarios:
Publicar un comentario