El popular Genshin Impact se ha convertido en el protagonista inesperado de un ataque de ransomware usando el driver mhyprot2.sys que el juego emplea para evitar trampas. Un método muy sofisticado, que en realidad también puede afectar a quienes no tengan Genshin Impact instalado.
No debemos echar la culpa a los desarrolladores de Genshin Impact, que no parecen responsables, sino al driver antitrampas mhyprot2.sys, que es vulnerable. Una vez instalado, es capaz de desactivar los antivirus e instala ransomware, un tipo de virus que cifra los archivos personales del usuario y pide un rescate económico para devolverlos.
Lo sorprendente es que mhyprot2.sys ha sido comprometido manteniendo una firma digital válida, que por ahora no se ha revocado. Por lo tanto, Windows lo acepta como un programa seguro, nada menos que un driver del sistema operativo, algo descubierto por la firma de seguridad Trend Micro.
Los drivers se encargan de conectar el sistema operativo con los componentes físicos, así que hacen uso del denominado "modo kernel", que les da un acceso al núcleo de Windows del que no disponen otras apps.
Aunque asociado a Genshin Impact en un primer momento, mhyprot2.sys puede venir con cualquier virus, y no necesita del juego para funcionar. Para protegernos, el sistema es el habitual, nunca instalar programas de fuentes no oficiales, y mantener todo el software actualizado.
Un sistema para detectar la infección es abrir el Visor de Eventos de Windows. Solo hemos de escribir "eventvwr" en el buscador para acceder y revisar los eventos con id 7045. El texto será como este:
Windows Event Log (System) – 7045: A new service was installed in the system. Service name: mhyprot2
Si no jugamos a Genshin Impact u otros títulos que necesiten un servicio antitrampas, es un indicio muy fuerte de una posible infección.
De cara a los usuarios con conocimientos de seguridad informática, se ha dado a conocer el hash que permite distinguir la versión con malware de mhyprot2.sys:
0466e90bf0e83b776ca8716e01d35a8a2e5f96d3
Eso no quiere decir que no puedan aparecer otras versiones que propaguen ransomware, de hecho, es probable que vaya evolucionando para burlar las soluciones de seguridad.
Desde miHoYo, los creadores de Genshin Impact, ya se han quejado del problema de la firma digital, pero por ahora sigue siendo válida. No supone un peligro específico para sus usuarios, pero sí que relaciona al juego con una vulnerabilidad muy grave.
Por otro lado, es posible jugar a Genshin Impact en GeForce Now como alternativa a instalar la versión de Windows, si bien no correremos ningún peligro si la descargamos de la página oficial.
Para mantenernos a salvo, los antivirus gratis para Windows 10 y 11 suele ser suficiente, aunque este tipo de amenazas sofisticadas pueden ponerlos a veces en dificultades.
Desde luego, el ransomware que se aprovecha de Genshin Impact es serio, y demuestra que un pequeño elemento de software vulnerable puede acabar por generar un problema muy grande en millones de equipos.
- Ver Comentarios