Hace unos días se dio a conocer la noticia en la que se indicaba que los responsables de ransomware TeslaCrypt habían tomado la decisión de desmontar toda la infraestructura y dar por finalizada la etapa de esta amenaza. Sin embargo, cuando todavía no se ha terminado la operación ya ha aparecido un sustituto. Crysis, que así es como se ha bautizado a este nuevo ransomware, ya ha comenzado a afectar a los primeros usuarios.
Los expertos de diferentes compañías de seguridad no han tenido aún tiempo suficiente para realizar una análisis exhaustivo, aunque sí que han podido conocer el cifrado que posee esta amenaza, que es mucho más potente que el de TeslaCrypt, no limitándose a afectar solo a los archivos almacenados en el disco duro interno del equipo, sino también aquellos alojados en unidades de red y medios USB que se conecten al equipos infectado.
También se ha podido saber que la amenaza no realiza una criba de archivos, infectando tantos como le sea posible y dejando intactos aquellos que forman parte de su núcleo y los que sirven para el arranque del sistema. Conviene recordar que no hace mucho una amenaza llevaba a cabo el cifrado incluso de los archivos contenidos en la carpeta Windows, obteniendo un resultado que podría considerarse fatal para el funcionamiento del equipo, ya que si este se apagase o sufriría un reinicio no volvería a arrancar.
Crysis posee un servidor remoto de control, tal y como era de esperar
Una vez que el proceso de cifrado ha «terminado», el ransomware envía a este la información relacionada con el equipo que servirá para identificar el equipo y así proceder al almacenamiento de la clave. Pero tal y como ya hemos mencionado con anterioridad, la amenaza es capaz de cifrar unidades de red o dispositivos USB que se conecten a posteriori, por lo que deberá enviar información al servidor de control actualizando la información previa existente.
En lo referido a qué equipos se pueden ver afectados, tal y como suele suceder en este tipo de amenazas son los usuarios con sistema operativo Windows los que corren el riesgo de que perder sus archivos.
Mismo funcionamiento que otras amenazas similares
Podría decirse que el proceso es más o menos similar al de otros ransomware, distando ligeramente en algunos aspectos. Sin ir más lejos, además del cifrado de carpetas de red y unidades USB, para recuperar los archivos el usuarios afectado debe enviar un correo electrónico al responsable de la misma para que facilite la dirección del monedero Bitcoin al que tendrá que realizar el traspaso de la cantidad solicitada, oscilando en esta ocasión entre 400 y 900 euros.
Os recomendamos leer nuestro tutorial sobre espacio que necesita un sitio web.