lunes, 14 de noviembre de 2011

Alerta: Ramson.AN, es un virus que secuestra Windows

Los usuarios que utilizan el sistema operativo Windows de Microsoft, deben tener mucho cuidado con un nuevo virus, descubierto por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y conocido como Ramson.AN (Trojan.Multi/Ransom.AN@ P2P+MM), que está circulando en estos momentos por Internet. Este nuevo virus ataca al sistema operativo de Microsoft y le pide al usuario infectado un rescate de cien euros o le eliminará toda la información del ordenador pasada 48 horas desde que se produce la alerta. El virus se ejecuta automáticamente cada vez que se reinicia el equipo, pero es incapaz de auto propagarse por la red una vez que ha infectado un ordenador.

Mecanismos de infección del virus Ramson.AN 
Los mecanismos por los que puede llegar al sistema son:
  • A través de archivos compartidos en redes P2P (peer to peer).
  • Recibido por correo SPAM (que podría proceder de un conocido).
  • Se envía masivamente a todas las direcciones de correo electrónico encontradas en el sistema infectado.
  • Descargado, sin el conocimiento del usuario, al visitar una página Web infectada.

¿Cómo funciona?
Cuando el virus Ramson.AN infecta el ordenador, se instala en el disco duro y hace que se reinicie el equipo, poniéndose en funcionamiento cada una vez que el usuario enciende el equipo. Al entrar en funcionamiento el equipo se bloquea y aparece una pantalla negra con un mensaje como el siguiente (puedes pinchar en la imagen para ampliar):


El texto está en alemán, pero el mensaje indica que la autenticidad de Microsoft Windows no ha podido ser verificada, así que hay que solucionarlo mediante el pago de 100€. Se hace saber que en caso de que no se pague se perderá acceso a la información que hay en el ordenador y que la oficina fiscal tiene su dirección IP para tomar medidas en caso de que no se pague en las próximas 48 horas.
Para realizar el pago se nos enviará a la página siguiente:


Una vez insertado el código que aparece en el primer mensaje, lleva a la página donde solicitan los detalles de pago (via tarjeta de crédito) para cobrar los 100€. Una vez enviada esta información nos informan de que en las próximas 24 horas nos enviarán el código de activación, tan pronto como comprueben que los datos que les hemos facilitado son reales.
¿Cómo se desinfecta?
Según el INTECO, el troyano se desactiva introduciendo el código:

QRT5T5FJQE53BGXT9HHJW53YT

Al hacerlo se reiniciará el ordenador y la clave del registro que ha creado el malware será eliminada, así como el propio malware.

Compártelo con tus amigos


No hay comentarios:

Publicar un comentario