Una familia de ransomware llamada Netix (RANSOM NETIX.A) está dirigida a usuarios que usan aplicaciones especiales para acceder a cuentas infectadas de Netflix, bloqueando sus archivos y exigiendo un pago de rescate de 100 dolares.
Este ransomware, que fue descubierto por Karsten Hahn de G Data y analizado por el equipo de Trend Micro, se difunde a través de una aplicación denominada "Netflix Login Generator v1.1.exe", que al ejecutarse proporciona al usuario un nombre de usuario y una contraseña de Netflix.
Estos combinados de nombre de usuario y contraseña nunca funcionan, ya que los autores de ransomware sólo están comprando tiempo para que el ransomware contenido en la aplicación realice su cifrado.
Según los investigadores, los objetivos de ransomware sólo 39 tipos de archivos, que es menor que la mayoría de las familias de otros ransomware, y sólo va después de los archivos ubicados en el usuario "C:\Users" carpeta solo, y no todo el disco duro. Los siguientes tipos de archivo están orientados para el cifrado:
.ai, .asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .epub, .flp, .flv, .gif, .html, .itdb, .itl, .jpg, .m4a, .mdb, .mkv, .mp3, .mp4, .mpeg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .sql, .txt, .wma, .wmv, .xls, .xlsx, .xml, .zip
Bajo el capó, cuando el usuario ejecuta "Netflix Login Generator v1.1.exe", el archivo extrae y suelta otro archivo denominado "netprotocol.exe" en la máquina del usuario, que se ejecuta inmediatamente.
Este archivo es el ransomware de Netix, que comienza a cifrar archivos con el algoritmo de encriptación AES-256, pero sólo si el equipo del usuario ejecuta Windows 7 y Windows 10.
Una vez finalizado el proceso de cifrado, el ransomware contacta con un servidor en línea, donde envía el ID de la infección y otros detalles, pero desde donde descarga también las notas de rescate que muestra en la máquina del usuario.
Las notas de rescate están en la forma de una imagen que se muestra como fondo de escritorio del usuario y un archivo de texto se cae en su PC.
El ransomware pide 100 dolares como pago en la moneda digital Bitcoin e invita a los usuarios a visitar un sitio web para pagar el rescate y recibir su clave de descifrado.
Los usuarios pueden reconocer infecciones de Netix porque el ransomware anexa la extensión .se al final de todos los archivos bloqueados.
¿Vale la pena pagar el rescate de 100 dolares?: La respuesta obviamente es no. En comparación con años anteriores, Netflix ya está disponible en más de 190 países, y una suscripción mensual cuesta entre $ 9 y $ 15, dependiendo del país.
Pagar el rescate de $ 100 para recuperar archivos bloqueados por esta amenaza no es una garantía de que los usuarios tendrán acceso a sus archivos tampoco, ya que muchas familias de ransomware vienen con errores que hacen que una recuperación sea imposible en algunos casos.
Hoy en día, los delincuentes han entendido que las aplicaciones piratas son la forma más fácil de difundir sus cargas útiles. Usted puede estar casi seguro de que cualquier aplicación pirata descargado de los portales de torrent contiene al menos algún tipo de adware o infostealer, si no peor.
