El ransomware es el tipo de malware más extendido y peligroso de los últimos años. Cuando este malware infecta un ordenador, automáticamente cifra todos los datos personales del usuario para pedir el pago de un rescate por ellos. Existen muchas variantes diferentes de ransomware, cada una con unas propiedades y características únicas, aunque una de las variantes más peligrosas y, por desgracia, extendidas es CryptXXX.
Brad Duncan, un investigador de seguridad, ha detectado recientemente una nueva variante del peligroso ransomware CryptXXX la cual llega con varios cambios respecto a la versión anterior tales como cambios en los nombres utilizados al cifrar los datos, una nueva plantilla y una nueva web en la red Tor para realizar el pago del rescate. Además, esta nueva versión cuenta con nuevas notas de rescate, las cuales se copian en el escritorio una vez finaliza el cifrado de los datos con extensiones .html, .bmp y .txt.
Esta nueva variante busca complicar la tarea de identificación y recuperación de los datos por parte de los administradores y expertos de seguridad. Para ello, una vez cifrado el archivo se le vuelve a cambiar el nombre y la extensión por sus originales, pareciendo que el archivo no ha sido cifrado, pero, en realidad, es totalmente inutilizable.
Igual que en otras ocasiones, este ransomware hace uso de un algoritmo RSA-4096 para cifrar los datos generando una clave pública y una privada, única por cada ordenador, y almacenando la privada en el servidor de los piratas a la espera del pago. Si la víctima paga pronto, el precio del rescate será de 0.4 Bitcoin (unos 225 euros), sin embargo, si se pasa el tiempo establecido, el precio del rescate aumentará hasta los 2.4 Bitcoin, situándose en más de 1300 euros.
CryptXXX cambia el nombre de su herramienta de recuperación por Microsoft Decryptor
En el pasado, este ransomware ha utilizado nombres como Google Decryptor y Ultra Decryptor para engañar a los usuarios y hacerles pensar que estaban pagando por una herramienta de recuperación de datos oficial en vez de financiando en secreto a piratas informáticos que utilizarán ese dinero para crear herramientas maliciosas mucho más peligrosas.
En esta nueva versión, los piratas informáticos han cambiado el nombre de la herramienta por «Microsoft Decryptor«, haciéndose pasar así por una herramienta oficial de Microsoft, aunque en realidad no lo es. Cambiar el nombre de la red Wi-Fi es interesante por seguridad.
Esta nueva variante, además, ya no ofrece un medio de contacto con los piratas informáticos para ayudar en el pago. Si la víctima tiene problemas, son sus problemas.
¿Qué opinas de estas variantes cada vez más peligrosas?