El ransomware es el tipo de malware más peligroso y que mayores beneficios reporta a los piratas informáticos, por lo que, en los últimos años, hemos podido ver un aumento exponencial y preocupante de esta amenaza. Cuando este malware infecta a un usuario, automáticamente empieza a cifrar sus datos y, una vez finaliza, pide el pago de un rescate por la clave privada para poder descifrarlos o, de lo contrario, se perderán para siempre.
Diferentes investigadores de seguridad de todo el mundo estudian estas amenazas y, hasta ahora, la mayoría de las variantes han podido ser crackeadas y cuentan con una herramienta que permite la recuperación de los archivos sin tener que pasar por caja. Por ello, cada poco tiempo es normal ver nuevas variantes de ransomware que solucionan los fallos en los algoritmos de cifrado para complicar la recuperación de los datos.
Un investigador de seguridad llamado BloodDolly ha descubierto una nueva versión de TeslaCrypt, concretamente la 4.2, del que es considerado el ransomware más peligroso, extendido y veterano, que busca, principalmente, solucionar varias de las debilidades de la versión actual para poder continuar así con sus ataques. Quizás pueda ser de vuestro interés conocer Whaling cómo funciona y qué es esta variante del phishing.
Por otro lado, los ficheros que forman parte de este nuevo TeslaCrypt 4.2 son:
- !RecoveR!-[5_characters]++.HTML -> Nota de rescate en formato de página web.
- !RecoveR!-[5_characters]++.PNG -> Nota de rescate en formato de imagen.
- !RecoveR!-[5_characters]++.TXT -> Nota de rescate en formato de texto.
- -!recover!-!file!-.txt -> El fichero de recuperación (cifrado)
- [random].exe -> El binario del ransomware.
Por motivos obvios, no podemos conocer una lista de cambios oficial sobre esta nueva versión, sin embargo, el investigador de seguridad responsable del estudio de esta variante confirma, en un primer estudio, las siguientes modificaciones:
Principales cambios de TeslaCrypt 4.2
Lo primero que se puede ver a simple vista es un cambio en la nota de rescate. Ahora, en vez de dar información sobre el secuestro de datos y explanarse en el proceso de recuperación de los mismos, la nota se centra en cómo realizar el pago para poder descifrar los datos.
Esta nueva versión también utiliza un nuevo compilador con una serie de optimizaciones de manera que su funcionamiento sea más estable y difícil de detectar a nivel de carga del sistema. También, se han encontrado varias funciones que hacen que el ransomware se inyecte en el proceso svchost.exe de manera que se eliminen las shadow copies, tanto antes del cifrado como después del mismo, impidiendo que los datos se puedan recuperar de esta manera.
Otro cambio relevante en esta nueva versión es que ahora el fichero de recuperación es el mismo que el fichero del programa, por lo que si se elimina este es posible que peligre el descifrado de los datos. Además, este fichero de recuperación está cifrado para evitar que se puedan conocer las configuraciones del mismo.
También se ha cambiado la entrada del registro de Windows donde se almacena este malware, apuntando directamente a la ruta donde se almacena.
Por último, la conexión con el servidor de control solo se establece si se detecta conectividad, de lo contrario, no.
Aunque no se ha confirmado, es muy probable que se haya cambiado el algoritmo de cifrado, por lo que, de momento, la recuperación de los datos cifrados por esta nueva versión no es posible sin pagar, y es muy peligroso hacerlo pagando ya que, como siempre indicamos, cabe la posibilidad de que no lleguemos a recibir la correspondiente clave. Sin duda, una peligrosa y preocupante actualización por la que debemos extremar las precauciones.
¿Crees que el ransomware está fuera de control?