Un distribuidor de malware ha decidido jugar una broma desagradable al bloquear las computadoras de las víctimas antes de que puedan iniciar Windows y luego culpar de la infección a dos investigadores de seguridad conocidos y respetados.
En las últimas 24 horas, después de descargar e instalar software de lo que parece ser software libre y sitios de crack, la gente de repente descubre que están bloqueados de su computadora antes de que Windows se inicie.
Cuando se bloquea, la PC mostrará un mensaje que indica que fueron infectados por Vitali Kremez y MalwareHunterTeam, que son investigadores de malware y seguridad conocidos y que no tienen nada que ver con este malware.
texto completo de este MBRLocker se puede leer a continuación:
Hello, my name is Vitali Kremez. I infected your stupid PC. you idiot.
Write me in twitter @VK_intel if you want your computer back
If I do not answer, write my husband twitter.com/malwrhunterteam
To protect your ***ing computer in future install SentinelOne antivirus. I work here as head of labs.
Vitali Kremez Inc. () 2020
Otra variante que se hace llamar «SentinelOne Labs Ransomware» se distribuye solo a Vitali Kremez y revela sus direcciones de correo electrónico y números de teléfono.
El texto de esta variante es:
~SentinelOne Labs Ransomware~
Your system was unprotected, so we locked down access to Windows.
You need to buy SentinelOne antivirus in orer to restore your computer.
My name is Vitali Kremez. Contacts are below.
Phone: XXX
E-mail 1: XXX
E-mail 2: xxx
After you buy my antivirus I will send you unlock code.
Enter Unlock code:
Estas infecciones se denominan MBRLockers, ya que reemplazan el ‘registro de arranque maestro’ de una computadora para evitar que el sistema operativo se inicie y en su lugar muestra una nota de rescate u otro mensaje
Este tipo de infección se usa en ataques de ransomware como Petya o como un limpiador destructivo para evitar que las personas accedan a sus archivos.
En este caso particular, parece que un desarrollador o distribuidor de malware está tratando de empañar el nombre de Kremez y MalwareHunterTeam y lanzó esta infección como una broma destructiva.
Para reiterar, MalwareHunterTeam y Kremez no tienen nada que ver con esta infección.