Es un nuevo tipo de ransomware

Los expertos MalwareHunterTeam y Bleeping Computer han advertido de un nuevo malware, que se conoce con el nombre de StalinLocker, puesto que muestra al usuario un retrato del dictador soviético Stalin al tiempo que se reproduce el himno nacional soviético.

Los investigadores aseguran que StalinLocker le da al usuario sólo diez minutos para introducir un código, y pasado éste tiempo, si no se introduce el código correcto, el malware comienza a borrar el contenido de todos los volúmenes que encuentran en el sistema.

Cómo se lleva a cabo la distribución del malware, todavía no está claro. Se sabe que después de la infección en sí, StalinLocker se copia a sí mismo en el directorio:

%USERPROFILE%\AppData\Local\stalin.exe

y además se añade en autoarranque bajo el nombre de Stalin. Tras éste proceso comienza el trabajo propiamente dicho del malware, se produce el bloqueo de la pantalla y se borran todos los registros de la máquina víctima. Además, el malware crea un archivo:

%USERPROFILE%\AppData\Local\fl.dat

que registra el número actual de segundos restantes de la cuenta atrás, dividido entre tres. Por lo tanto, cada vez que el usuario inicia el programa, el tiempo en el temporizador disminuye significativamente. Además, StalinLocker trata de eliminar todos los procesos excepto Skype y Discord. Cierra tanto Explorer.exe como taskmgr.exe, además al mismo tiempo trata de crear una tarea mediante Driver Update para ejecutar el programa Stalin.exe, sin embargo ésta funcionalidad, está repleta de errores.

StalinLocker da a sus víctimas diez minutos para introducir el código correcto. Según MalwareHunterTeam, el código es la diferencia entre la fecha de ejecución del programa actual y 1922.12.30 (probablemente el autor del malware eligió la fecha del acuerdo sobre la formación de la Unión Soviética). Si el código se introduce correctamente, el programa se eliminará a si mismo de la ejecución automática y concluye. En caso contrario el marcador llega a cero, y después de eso, StalinLocker intentará eliminar todos los archivos del sistema víctima, escaneando secuencialmente las letras de los volúmenes de la A a la Z.

Los expertos señalan que, si bien StalinLocker está todavía en una fase de desarrollo y aún no se ha completado, por desgracia ha llegado a un estado funcional de tal calibre que ya representa una seria amenaza para los usuarios.