Ransomware Jcry infecta a usuarios de Windows

08 Marzo 2019
Medio

Descubren un nuevo ransomware llamado Jcry, que se está distribuyendo a través de las campañas #OpJerusalem2019 y #OpIsrael2019, infectando a usuarios de Windows que visitan sitios webs infectados.

El grupo de ciberdelincuentes detrás del ransomware atacó a cientos de sitios y destruyó casi 1 millón de ellos, incluidos los de marcas como Coca Cola, ToysRUs y McDonald’s. Su objetivo, según dicen, fue “borrar a Israel de Internet”, en protesta por contra el gobierno del país, por su conflicto con Palestina.

Entre los vectores de ataque utilizados, se incluyen defacements a sitios web, ataques de denegación de servicios distribuidos (DDoS) y vulnerabilidades en plugins de terceros.

Una vez que el sitio está comprometido, los atacantes descargan un javascript que muestra al usuario un mensaje malicioso de actualización de Adobe. Y si éste hace click en actualizar, se descarga el archivo ‘flashplayer_install.exe’ desde hxxp://185.163.47.134. Se trata de un Winrar SFX que contiene 3 archivos. Uno de ellos -el Enc.exe- es el que encripta los archivos de la víctima, los que son renombrados con la nueva extensión .jcry.

Finalmente, aparece la nota de rescate llamada JCRY_Note.html, que exige el pago de US$500, a través de bitcoins, para recuperar los archivos.

Se recomienda lo siguiente:

- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Contar con un antivirus actualizado.


Tags: #jcry #ransomware #flash #ddos #winrar


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.