“SSHBOT” malware que ataca a Windows bloqueando el acceso al sistema

Se han visto casos de infección con un malware screenlocker llamado “SSHBOT”. El mismo tiene como propósito principal bloquear el acceso a sistemas Windows de las víctimas y obligarlas a que realicen el pago de un “rescate” con el fin de obtener una “contraseña de desbloqueo” del sistema en un tiempo límite de 30 minutos, oaso contrario, el sistema sería “eliminado”.

¿Qué pasó?

SSHBOT o también conocido como P4YME, sustituye el proceso Winlogon (proceso encargado del inicio de sesión de Windows) del registro, esto con el fin de impedir que explorer.exe (archivo ejecutable del explorador de archivos de Windows) inicie.

Seguidamente, muestra un mensaje en la pantalla de la víctima que indica que el equipo ha sido “bloqueado” y para realizar el desbloqueo correspondiente es necesario abonar un total un monto de dinero. Además el mensaje de alerta afirma que el pago debería ser realizado en un tiempo límite de 30 minutos, caso contrario el sistema sería “eliminado”. Es decir, la víctima cuenta con 30 minutos (cuenta regresiva incluida en el mensaje) para contactar con los ciberdelincuentes vía Telegram y abonar el dinero solicitado (generalmente en bitcoin), y así recibir la supuesta “contraseña de desbloqueo”.

A continuación, se visualiza una captura de pantalla del mensaje:

La contraseña de desbloqueo de este malware ha sido publicada y es “P4YME0101”.

Cabe recalcar que este malware no utiliza algoritmos de encriptado, es decir no encripta los archivos personales de la víctima como lo es en el caso de los ransomware de cifrado.

Recomendaciones:

• Descargar programas o archivos únicamente de fuentes oficiales o confiable.
• Mantenga el sistema operativo actualizado con los últimos parches de seguridad disponibles.
• No ingresar a enlaces dudosos enviados a través de correos electrónicos, servicios de mensajerí­a, redes sociales, etc.
• En caso de sospechas de infección con el malware, se recomienda:
  • Iniciar el equipo en Modo Seguro con funciones de red,
  • Iniciar sesión en la cuenta infectada con el malware “SSHBOT”,
  • Ingresar al navegador web y descargar un antivirus/firewall legítimo y
  • Realizar un análisis completo para eliminar el malware.

Referencias:

• https://www.pcrisk.com/removal-guides/18559-sshbot-screenlocker#a2
• https://www.virustotal.com/gui/file/27221566c890ff03c0dfa38c996015e9e821610d409b2def367ccbdf73786ad6/detection
• http://www.pulsetheworld.com/remove-sshbot-screenlocker/