Descubren un nuevo ransomware llamado Jcry, que se está distribuyendo a través de las campañas #OpJerusalem2019 y #OpIsrael2019, infectando a usuarios de Windows que visitan sitios webs infectados.
El grupo de ciberdelincuentes detrás del ransomware atacó a cientos de sitios y destruyó casi 1 millón de ellos, incluidos los de marcas como Coca Cola, ToysRUs y McDonald’s. Su objetivo, según dicen, fue “borrar a Israel de Internet”, en protesta por contra el gobierno del país, por su conflicto con Palestina.
Entre los vectores de ataque utilizados, se incluyen defacements a sitios web, ataques de denegación de servicios distribuidos (DDoS) y vulnerabilidades en plugins de terceros.
Una vez que el sitio está comprometido, los atacantes descargan un javascript que muestra al usuario un mensaje malicioso de actualización de Adobe. Y si éste hace click en actualizar, se descarga el archivo ‘flashplayer_install.exe’ desde hxxp://185.163.47.134. Se trata de un Winrar SFX que contiene 3 archivos. Uno de ellos -el Enc.exe- es el que encripta los archivos de la víctima, los que son renombrados con la nueva extensión .jcry.
Finalmente, aparece la nota de rescate llamada JCRY_Note.html, que exige el pago de US$500, a través de bitcoins, para recuperar los archivos.
Se recomienda lo siguiente:
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Contar con un antivirus actualizado.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |
| Tipo | Indicador |
|---|---|
| hash | c86c75804435efc380d7fc436e3... |
| hash | 775b0c7b3741221e6abef787b15... |
| hash | c86e3bbe43d5c0ddf2eb9a2e1c5... |
| url | http://185.163.47.134/ |