Los investigadores de seguridad de Emsisoft han descubierto una interesante pieza de ransomware y la apodaron Linkup (Trojan-Ransom.Win32.Linkup). Mientras que otros troyanos de este tipo bloquean los ordenadores o cifran los archivos almacenados en ellos, Linkup impide que los usuarios accedan a la web.
Cuando los propietarios de dispositivos infectados quieren visitar un sitio web, se les muestra un mensaje que parece provenir del Consejo de Europa.
"El acceso a Internet está bloqueado temporalmente", dice el mensaje que aparece en la pantalla. Las víctimas son animadas a proporcionar su información personal y financiera para establecer sus identidades.
Los internautas son informados que tienen que pagar sólo 0,01€ para desbloquear el uso de Internet, pero los expertos creen que la cantidad de dinero que las víctimas terminan pagando es mucho mayor.
Pero ¿cómo logra esta amenaza bloquear el acceso a Internet?
Según los investigadores, cuando se ejecuta por primera vez, Linkup desactiva las características de seguridad de Windows y el firewall del sistema operativo y hace una copia de sí mismo bajo el nombre de svchost.exe. Luego, el malware se comunica con su servidor de comando y control.
Linkup recibe un comando para redirigir todas las peticiones HTTP al sitio web de ransomware. Hace una serie de modificaciones en los registros para asegurarse de que cada petición de DNS sea redirigida.
Sin embargo, Linkup no está diseñado sólo para bloquear el acceso a Internet. Una vez que infecte un ordenador, la amenaza descarga un componente adicional que es en realidad un minero de Bitcoin.
Los dispositivos infectados con el malware pasan a formar parte de una botnet de minería de Bitcoin.
En caso de que tu PC esté infectado con Linkup, mira lo que tienes que hacer para limpiarlo. En primer lugar, escanea tu dispositivo con un software antivirus actualizado (Emsisoft recomienda Malwarebytes Anti-Malware).
Luego, tienes que establecer la configuración de DNS a "obtener dirección del servidor DNS automáticamente". El malware configura el servidor DNS primario a 127.0.0.1.
Más detalles técnicos sobre el ransomware Linkup están disponibles en el blog de Emsisoft.
http://news.softpedia.es/El-ransomware-Linkup-bloquea-el-acceso-de-los-usuarios-a-Internet-423787.html