Una nueva amenaza para Windows 10 desactiva el antivirus y toma el control de tu equipo

No nos deja tranquilos saber que ahí fuera hay tantas amenazas de hackers intentando sacar partido de nuestros datos y dispositivos que hay veces que es mejor retirarse y escapar del mundo online. Pero como eso es imposible, resulta vital tomar medidas como instalar un buen antivirus, o mantener actualizado Windows 10 a las últimas versiones para cerrar todos los agujeros que se van descubriendo.

El problema llega cuando ni si quiera hacer todas esas cosas nos garantiza que no vayamos a tener problemas. Porque si alguien ha sido capaz de desarrollar un malware que tira por tierra los antivirus y la seguridad de un ordenador, ¿qué nos queda por hacer? Pues seguramente que rezarle al santo de los informáticos... para que no nos toque.

En esta ocasión estamos hablando de un ransomware al que han bautizado como RobinHood y que no tiene nada de solidario ni filantrópico, porque el objetivo es bloquearnos el PC, con todos sus datos dentro, secuestrarlo y pedirnos a cambio de liberarlo una cantidad de dinero que va aumentando a medida que pasan las horas. En algunos de los mensajes publicados por usuarios afectados, llegan a amenazarles con sumar a la cantidad inicial una media de 10.000 dólares por cada día que nos demoremos.

Un driver, el culpable de todo

Como sabréis, los drivers son esos archivos que identifican componentes del hardware y hacen que el ordenador se entienda con ellos. Pues bien, este RobinHood utiliza un agujero en uno de ellos, desarrollado originalmente por Gigabyte, para sustituirlo por otro infectado por el virus que se pone manos a la obra para desactivar por completo el antivirus (y otras medidas de seguridad) que tengamos instaladas.

La empresa responsable del descubrimiento ha sido Sophos Lab, que en la información que publica avisan de que "Este segundo controlador hace todo lo posible para eliminar procesos y archivos que pertenecen a productos de seguridad [...] evitando la protección contra manipulaciones, para permitir que el ransomware ataque sin interferencia". Lo más preocupante es que afirman que "esta es la primera vez que observamos que el ransomware envía un controlador de terceros confirmado (pero vulnerable) de Microsoft para parchear el kernel de Windows en la memoria, cargar su propio controlador malicioso sin firmar y eliminar aplicaciones de seguridad del espacio del kernel".

Es decir, que el malware toma el control en todos los niveles del ordenador, lo que puede hacer que no podamos volver a utilizarlo, salvo que tengamos maña para acceder a sus niveles más bajos y nos atrevamos a borrar y restaurar el firmware de la placa y volver a instalar por completo el sistema operativo desde cero.

En todo caso, lo más aconsejable, para esta y otras amenazas, es mantener siempre un sistema de almacenamiento permanentemente actualizado, con toda nuestra información importante a salvo, bien en la nube o en discos duros que queden fuera de la cobertura online, con el único objetivo de tener siempre una copia de seguridad que recuperar en caso de secuestro del PC. Solo en esos casos, perderemos el miedo a un bloqueo así porque no tendremos en riesgo ningún dato importante.