Magniber, el ransomware que se oculta bajo falsas actualizaciones de Windows 10

Una campa?a masiva de malware iniciada este mes de mayo se est�� distribuyendo bajo un update falso para Windows.

Actualizado a 3 de mayo de 2022 19:27 CEST

Un malware, adem��s de tipo Ransomware, camuflado bajo una actualizaci��n de Windows 10 y encima dirigido a estudiantes y consumidores en vez de a grandes empresas u objetivos gubernamentales. ?Se puede ir a m��s mala idea? Y es que un grupo de ciberdelincuentes est�� expandiendo una variedad de 'ransomware' llamada Magniber a trav��s de falsas actualizaciones del sistema operativo de Microsoft.

Magniber Ransomware

El site BleepingComputer ha recibido una oleada de solicitudes de ayuda en relaci��n con una infecci��n de ransomware -un tipo de virus que te secuestra el ordenador a cambio de pagar un rescate al cibercriminal por quitarlo- dirigida a usuarios de todo el mundo, en una campa?a que al parecer ha comenzado hace un mes, a inicios del pasado abril. Una campa?a que emplea el ransomware Magniber tras instalar lo que se cree que es una actualizaci��n acumulativa o de seguridad de Windows 10.

Estas actualizaciones se distribuyen bajo varios nombres, siendo los m��s comunes:

Win10.0_System_Upgrade_Software.msi [VirusTotal]
Security_Upgrade_Software_Win10.0.msi

Otras descargas simulan ser actualizaciones acumulativas de Windows 10, utilizando art��culos falsos de la base de datos, como:

System.Upgrade.Win10.0-KB47287134.msi
System.Upgrade.Win10.0-KB82260712.msi
System.Upgrade.Win10.0-KB18062410.msi
System.Upgrade.Win10.0-KB66846525.msi

Aunque no est�� 100% claro c��mo se promueven las falsas actualizaciones de Windows 10, las descargas se distribuyen desde falsos sitios de warez y crack. Una vez instalado, el ransomware borrar�� las instant��neas de volumen y cifrar�� los archivos. Al cifrar los archivos, el ransomware a?adir�� una extensi��n aleatoria de 8 caracteres, como .gtearevf. El ransomware tambi��n crea notas de rescate llamadas README.html en cada carpeta que contienen instrucciones sobre c��mo acceder al sitio de pago Magniber Tor para pagar el rescate.

Falsa actualizaci��n de Windows 10

El sitio de pago de Magniber se titula "My Decryptor" y permite a la v��ctima descifrar un archivo de forma gratuita, contactar con el "soporte" o determinar el importe del rescate y la direcci��n de bitcoin en la que las v��ctimas deben realizar el pago. Seg��n las p��ginas de pago vistas por BleepingComputer, la mayor��a de las peticiones de rescate han sido de aproximadamente 2.500 d��lares o 0,068 bitcoins por liberar el terminal infectado.

Magniber se considera seguro, lo que significa que no contiene ninguna debilidad que pueda ser explotada para recuperar archivos de forma gratuita. Lo malo, seg��n BleepingComputer es que ��desgraciadamente, esta campa?a se dirige principalmente a estudiantes y consumidores m��s que a v��ctimas empresariales, lo que hace que la petici��n de rescate sea demasiado cara para muchas v��ctimas��.