¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Demo gratis
Dr.Web para Android

Protege lo creado

Otros recursos

  • free.drweb-av.es — utilidades gratuitas, complementos, informadores
  • av-desk.com — un servicio en Internet para los proveedores de servicios Dr.Web AV-Desk
  • curenet.drweb.com — utilidad de desinfección de red Dr.Web CureNet!
Cerrar

Mi biblioteca
Mi biblioteca

+ Añadir a la biblioteca

Soporte
Soporte 24 horas

Sus solicitudes

Perfil

Doctor Web: informe de la actividad de virus del año 2017

29 de diciembre de 2017

Desde el punto de vista de la seguridad informática, el año 2017 destaca, sin duda, por los eventos importantes como los ataques globales de gusanos cifradores WannaCry, NePetya y BadRabbit, así como la aparición de múltiples troyanos en Linux para el así llamado Internet de las cosas. Además, este año fue destacado por la difusión de scripts nocivos en muchos sitios web destinados para el mining (obtención) de criptomoneda.

En primavera del año 2017 los analistas de virus de la empresa Doctor Web investigaron un nuevo backdoor para el sistema operativo macOS — fue uno de los pocos programas nocivos para el SO de la empresa Apple añadidos a las bases de virus este año. Además, durante los últimos 12 meses aparecieron nuevos troyanos bancarios destinados para robar dinero de las cuentas de entidades de crédito: uno de estos programas nocivos, о Trojan.PWS.Sphinx.2, fue analizado por los analistas de Doctor Web en febrero, el otro — Trojan.Gozi.64 — en noviembre del año 2017.

Los estafadores de red también fueron muy activos en el año 2017: la empresa Doctor Web varias veces comunicó sobre la detección de los nuevos esquemas de estafa de usuarios de Internet. En marzo del año 2017, los estafadores de red intentaron robar dinero a titulares y administradores de varios recursos de Internet, para lo cual crearon unas 500 páginas web de estafa. En los envíos spam los ciberdelincuentes actuaron como si fueran empleados de las empresas Yandex y RU-Center, y también inventaron un esquema de estafa donde para recibir un pago no existente a la víctima la solicitaban indicar el Número de la cuenta individual de seguro. Además, en julio fue comprometido el Portal de los servicios públicos de la Federación de Rusia (gosuslugi.ru) en cuyas páginas los desconocidos implementaron un código potencialmente peligroso. Esta vulnerabilidad luego fue corregida por la administración del portal.

El año 2017 tampoco fue tranquilo para los titulares de dispositivos móviles en SO Google Android. En verán los analistas de virus de Doctor Web investigaron un troyano bancario multifuncional en Android que controlaba los dispositivos y robaba la información confidencial de los clientes de entidades de crédito y finanzas. Luego en el catálogo Google Play fue detectado un juego con un troyano descargador incrustado, descargado por más de un millón de usuarios. Durante el año los expertos de Doctor Web detectaban los troyanos en Android preinstalados en el firmware predeterminado de dispositivos móviles, así como muchos otros programas nocivos y potencialmente peligrosos para esta plataforma.

Tendencias clave del año

  • Detección de gusanos cifradores peligrosos, capaces de difundirse sin participación de usuarios;
  • Crecimiento del número de troyanos Linux para Internet de las cosas;
  • Difusión de programas nocivos peligrosos para la plataforma móvil Android.

Eventos más destacados del año 2017

Los troyanos encoders que cifran los archivos y demandan un rescate por recuperarlos, solían difundirse como si fueran utilidades no nocivas, o usando los envíos nocivos. Así mismo, con mayor frecuencia, los malintencionados no adjuntaban al mensaje el cifrador mismo, sino un pequeño troyano descargador que al intentar abrir el adjunto descargaba e iniciaba el encoder. Al mismo tiempo, los gusanos capaces de difundirse por la red de forma autónoma, anteriormente no se usaban para el cifrado de archivos y tenían otras funciones nocivas — un representante de esta clase de programas nocivos fue investigado por los expertos Doctor Web a principios del año pasado. El primer cifrador que compaginaba las posibilidades de un encoder y un gusano de red, fue Trojan.Encoder.11432, conocido como WannaCry.

La difusión masiva de este programa nocivo empezó a las 10 de la mañana el 12 de mayo de 2017. Para infectar otros equipos, el gusano usaba la vulnerabilidad en el protocolo SMB (MS17-10), así mismo, corrieron riesgo tanto los nodos de la red local como los equipos en Internet con direcciones IP aleatorias. El gusano consistía en varios componentes, y el cifrador fue solo uno de ellos.

screenshot Encoder11432 #drweb

Trojan.Encoder.11432 cifraba los archivos con una clave aleatoria, así mismo, el troyano contenía un módulo decoder especial que permitía descifrar varios archivos gratis en modo demo. Cabe destacar que estos archivos aleatorios se cifraban con otra clave, por lo tanto, su recuperación no garantizaba el descifrado correcto de los demás datos. Una investigación detallada de este encoder fue publicada en nuestro sitio web en mayo de 2017.

Pronto tuvimos otra epidemia del gusano cifrador llamado en varias fuentes como NePetya, Petya.A, ExPetya y WannaCry-2 (fue nombrado así por su supuesta similitud al troyano Petya difundido anteriormente — Trojan.Ransom.369). Dr.Web NePetya fue añadido a las bases de virus como Trojan.Encoder.12544.

Al igual que su antecesor WannaCry, el gusano cifrador Trojan.Encoder.12544 usaba para su difusión una vulnerabilidad en el protocolo SMB, pero en este caso fue posible detectar la fuente inicial de difusión del gusano de forma oportuna. Fue un módulo de actualización del programa M.E.Doc usado para la contabilidad en Ucrania. Es por eso que los usuarios y entidades ucranianas fueron las primeras víctimas de Trojan.Encoder.12544. Los expertos de Doctor Web Investigaron con detalle el programa M.E.Doc y detectaron que uno de sus componentes contiene un backdoor completo, capaz de recabar nombres de usuario y contraseñas para acceder a los servidores de correo, descargar e iniciar en el equipo cualquier aplicación, realizar los comandos aleatorios en el sistema, así como transferir archivos desde el equipo al servidor remoto. NePetya uso este backdoor, y anteriormente — como mínimo, otro troyano cifrador.

screenshot petya #drweb

La investigación de Trojan.Encoder.12544 reveló que este encoder inicialmente no suponía ninguna posibilidad de descifrar los archivos dañados. Así mismo, disponía de bastantes funciones nocivas. Para interceptar los datos de cuentas de los usuariosо Windows, usaba las utilidades Mimikatz y con esta información (así como de varios otros modos) se difundía por la red local. Para infectar los equipos a los que lograba acceder, Trojan.Encoder.12544 usaba un programa de administración de equipos remotos PsExec o una utilidad de consola estándar para abrir los objetos Wmic.exe. Además, el cifrador dañaba el registro de arranque del disco С: (Volume Boot Record, VBR) y suplantaba el registro de arranque original de Windows (MBR) por su propio, así mismo, el MBR inicial se cifraba y se transfería a otro sector del disco.

screenshot nepetya #drweb

En junio, la empresa Doctor Web publicó una investigación detallada del gusano cifrador Trojan.Encoder.12544.

En octubre fue detectada la difusión de otro gusano encoder llamado Trojan.BadRabbit. Las muestras conocidas de este troyano se difundían como un programa con un icono del instalador de Adobe Flash. Desde el punto de vista de la arquitectura, BadRabbit era similar a sus antecesores: también consistía en varios componentes: un dropper, un encoder y un gusano de red, también contenía un descifrador incrustado, además, era claro que una parte de su código fue prestada a Trojan.Encoder.12544. Pero este cifrador destacó por un rasgo característico: al iniciarse, comprobaba si en el equipo atacado había dos antivirus— Dr.Web y McAfee — y al detectarlos, omitía la primera etapa de cifrado, supuestamente, para evitar ser detectado de forma inoportuna.

screenshot badrabbit #drweb

Para la información más detallada sobre este programa nocivo, consulte el artículo informativo publicado por la empresa Doctor Web.

Eventos de virus

Según la información recibida con los servidores de estadísticas Doctor Web, en el año 2017 en los equipos de usuarios con mayor frecuencia se detectaban los scripts y programas nocivos destinados para descargar otros troyanos de Internet, así como para instalar las aplicaciones nocivas y no deseadas. Comparado con el año anterior, ya casi no hay troyanos de publicidad en estas estadísticas.

According to Doctor Web’s statistics servers

JS.Inject
Una familia de scripts nocivos creados en JavaScript. Incrustan un script nocivo en el código HTML de las páginas web.
JS.DownLoader
Una familia de scripts nocivos creados en JavaScript. Descargan e instalan en el equipo otros programas nocivos.
Trojan.InstallCore
Una familia de instaladores de aplicaciones no deseadas y nocivas.
Trojan.DownLoader
Una familia de troyanos destinados para descargar otras aplicaciones nocivas en el equipo atacado.
Trojan.Inject
Una familia de programas nocivos que incrustan el código nocivo en los procesos de otros programas.
Trojan.DownLoad
Una familia de troyanos destinados para descargar otras aplicaciones nocivas en el equipo atacado.

La situación es similar en caso de análisis del tráfico de correo, pero aquí, además de descargadores, también hay troyanos destinados para robar contraseñas y otra información confidencial.

Statistics concerning malicious programs discovered in email traffic

JS.DownLoader
Una familia de scripts nocivos creados en JavaScript. Descargan e instalan otros programas nocivos en el equipo.
JS.Inject
Una familia de scripts nocivos creados en JavaScript. Incrustan el script nocivo en el código HTML de las páginas web.
Trojan.InstallCore
Una familia de instaladores de aplicaciones no deseadas y nocivas.
Trojan.PWS.Stealer
Una familia de troyanos destinados para robar contraseñas y otra información confidencial en el equipo infectado.
Trojan.DownLoader
Una familia de troyanos destinados para descargar otras aplicaciones nocivas en el equipo atacado.
W97M.DownLoader
Una familia de troyanos descargadores que usan para su funcionamiento las vulnerabilidades de aplicaciones de oficina. Sirven para descargar otras aplicaciones nocivas en el equipo atacado.
PowerShell.DownLoader
Una familia de archivos nocivos creados en PowerShell. Descargan e instalan otros programas nocivos en el equipo.
Trojan.Inject
Una familia de programas nocivos que incrustan el código nocivo en l procesos de otros programas.

Troyanos cifradores

El año 2017 puede ser llamado un año de gusanos encoders: justo en este año los cifradores aprendieron a propagarse por la red sin ayuda de usuarios y causaron varias epidemias. Durante los últimos 12 meses el servicio de soporte técnico de la empresa Doctor Web fue contactado en total por unos 18 500 usuarios víctimas de las acciones de cifradores. A partir del mes de mayo, el número de solicitudes bajaba poco a poco, y al final del año bajó más de dos veces comparado al principio del año.

Encryption ransomware

Según las estadísticas, con mayor frecuencia en el año 2017 el troyano Trojan.Encoder.858 penetraba en los equipos, el segundo lugar lo ocupa Trojan.Encoder.3953, el tercer encoder más “popular” fue Trojan.Encoder.567.

Los cifradores más difundidos en el año 2017:

Desarrollador ruso de antivirus Dr.Web

Experiencia de desarrollo a partir del año 1992

Dr.Web se usa en más de 200 países del mundo

Entrega de antivirus como servicio a partir del año 2007

Soporte 24 horas

© Doctor Web
2003 — 2018

Doctor Web es un productor ruso de los medios antivirus de protección de la información bajo la marca Dr.Web. Los productos Dr. Web se desarrollan a partir del año 1992.

125040, Rusia, Moscú, c/3 Yamskogo Polya, 2, edif.12А