El cierre de TeslaCrypt esta semana y la distribución de su master key, ha sido una gran noticia, pero la caida de este ransomware significa que muchos cibercriminales necesitan una nueva herramienta para continuar con sus extorsiones. Una de las herramientas que esta experimentando mayor crecimiento es CryptXXX.
El ransomware CryptXXX ha recibido recientemente diversas actualizaciones que aumentan su peligrosidad. Distribuido a través del kit de exploits Angler, CryptXXX ha sido recientemente utilizado en importantes campañas de malvertising como la de PerezHilton y modificado tras la aparición de una herramienta de desencriptado de ficheros. Investigadores de TrendLabs y Proofpoint han detectado un constante trabajo de mantenimiento y evolución de este malware así como su rápida expansión
Infección
CryptXXX se distribuye a través del kit de exploits Angler. Una vez visitamos una web comprometida o clickamos en un anuncio malicioso, en caso que tengamos algún software vulnerable a los exploits de Angler este utilizará el malware BEDEP para descargar en la víctima el ransomware CryptXXX. Lo primero que hace como ya es habitual en otras variantes de malware o ransomware es tratar de detectar si se encuentra en una máquina virtual, si es así se detiene y elimina en caso contrario se despliega.
CryptXXX ejecuta conjuntamente un par de rutinas, la primera es el encriptador en si y la segunda es un programa que detecta cualquier comportamiento extraño por parte del sistema, en ese caso reinicia la encriptación. Ambos los enmascara como svchost.exe y tras la ejecución bloquea la pantalla de la víctima y muestra un mensaje como el siguiente:
Prevención
Como hemos comentado en otras ocasiones las medidas de prevención son clave para evitar un disgusto por culpa de cualquier ransomware. Primero el utilizar siempre software legítimo, actualizado, junto con una buena solución anti virus/malware y una navegación por Internet inteligente y responsable evitaran en gran medida que seamos infectados
Pero la seguridad absoluta no existe y por eso tenemos que seguir una regla de oro en cuanto a prevención de perdida de datos. La regla 3-2-1, ya sabéis 3 copias de nuestros datos, en al menos 2 formatos diferentes y con 1 de ellas en otra localización. De esta manera que un ransomware encripte vuestros ficheros, no dejará de ser un engorro, pero perderá su poder de extorsión ya que siempre tendréis vuestros ficheros a salvo para recuperarlos.
Y sobretodo, no paguéis nunca, ya que ese dinero alimenta su actividad.
Fuente TrendLabs
