Cada poco tiempo, los piratas informáticos actualizan sus piezas de malware para dotarlas de nuevas características y funciones, hacerlas más peligrosas y hacer que sean más difíciles de detectar y eliminar. Por ello, cada poco tiempo es muy común ver nuevas variantes de ransomware que, aunque en un principio parecen amenazas nuevas, en realidad están basadas en una versión ya vista con anterioridad y que con el nuevo nombre solo pretende dar un toque renovado a la amenaza.
La empresa de seguridad Bleeping Computer ha detectado una nueva actualización del ransomware CryptXXX que cambia por completo todos sus aspectos visuales, empezando por la nota de rescate. Mientras que las versiones anteriores utilizaban la misma capa de personalización de CryptoWall para mostrar la nota de rescate, en esta ocasión los piratas informáticos responsables han creado su propia plantilla y han cambiado en ella el nombre del malware por UltraCrypter.
Los piratas informáticos también han cambiado las direcciones de la red Tor para hacer el pago del rescate y han incluido en UltraCrypter un fondo de escritorio, el cual se cambia automáticamente tras una infección.
Cómo funciona CryptXXX / UltraCrypter
Igual que el resto de amenazas, cuando UltraCrypter infecta nuestro equipo automáticamente empieza a cifrar todos los datos incluidos en él y los asigna las extensiones .crypt y .cryp1. Aunque de momento no se ha analizado por completo la nueva versión, se cree que utiliza un cifrado militar RSA4096 para llevar a cabo el cifrado, siendo imposible de romper por fuerza bruta. Una vez finaliza la infección, automáticamente muestra la nota de rescate (similar a la de la captura anterior) donde pide el pago del correspondiente rescate en Bitcoin a través de la red Tor.
Este ransomware en concreto pide a los usuarios pagar 1000 dólares en Bitcoin y les pone una fecha límite. Si tras dicha fecha el pago no se ha realizado, el precio aumentará de dos en dos dólares hasta que se realice el correspondiente pago del rescate.
Cuando los usuarios pagan reciben automáticamente un programa llamado UltraDeCrypter, el cual les permite descifrar y recuperar todos los datos fácilmente una vez tienen en su poder la clave privada utilizada para cifrarlos. Por el momento no existe una herramienta para recuperar los datos de forma gratuita, aunque las empresas de seguridad ya trabajan en encontrar cualquier posible vulnerabilidad que permita a los usuarios recuperar sus datos sin tener que pasar por caja.
Para evitar caer en manos de estos piratas informáticos, igual que siempre os recomendamos tener copias de seguridad, al menos de los datos más importantes, y evitar descargar y ejecutar archivos que vengan de fuentes desconocidas.
¿Qué opinas del ransomware? ¿Crees que seguirá creciendo como la amenaza más peligrosa o existirá la posibilidad de acabar con él?
Quizá te interese:
- Cómo recuperar los archivos cifrados por un ransomware restaurando las copias Shadow
- Cómo protegerte del 90% del ransomware sin necesidad de un antivirus