Detectar y frenar a tiempo las continuas amenazas de ransomware se está convirtiendo en todo un reto para los profesionales de la seguridad. Recientemente se conoció la existencia de un nuevo ransomware llamado CryptXXX que no sólo bloquea los archivos sino que exige rescates de hasta 500 bitcoins.
CryptXXX llega hasta los usuarios a través de correos electrónicos infectados o con enlaces a páginas web maliciosas que se encargan de distribuirlo sirviéndose del kit de exploit de Angler.
En el momento en que se ejecuta el ramsonware los archivos del usuario quedan bloqueados y se les añade la extensión .crypt. Además, de la encriptación de los archivos, el malware es capaz de navegar por el sistema en busca de contraseñas y otros datos sensibles.
A los afectados se les informa de que han sido infectados mediante RSA-4096 y se les exige el pago sin garantÃas de que realmente los archivos vayan a ser devueltos a sus dueños.
El usuario infectado por CryptXXX verá cómo cambia su fondo de pantalla y cómo aparecen diferentes archivos de texto y HTML con información sobre la situación de sus archivos, además de dar instrucciones sobre cómo se deben realizar los pagos para recuperarlos.
En el caso de CryptXXX, personal de Kaspersky Lab determinó que la encriptación RSA-4096 era falsa y desarrolló una herramienta gratuita capaz de recuperar los archivos secuestrados sin necesidad de pagar ningún rescate por ello. Para llevar a cabo la recuperación, la herramienta necesitará al menos un archivo no encriptado que no haya sufrido el ataque del ransomware.
Algunas recomendaciones
Para proteger los equipos de posibles infecciones de este tipo de virus, los expertos de Kaspersky Lab recomiendan hacer copias de seguridad periódicamente; instalar soluciones de seguridad; e instalar todas las actualizaciones importantes de los sistemas operativos. Este último punto es importante porque a menudo los ransomware utilizan las vulnerabilidades de software para infectar los equipos.
La herramienta de descifrado gratuita desarrollada por Kaspersky Lab está disponible en la web de soporte de la compañÃa.
