Descifrar el ransomware CryptXXX

Recientemente la empresa “Kaspersky” ha lanzado una herramienta que viene a intentar combatir la lucha contra el archiconocido ransomware en su variante CryptXXX.

Al igual que casi todos los ransomware CryptXXX se suelen distribuir entre los usuarios, a través de correos maliciosos que adjuntan ficheros infectados o en su defecto enlazan a páginas Web con exploits preparados para colarse por cualquier resquicio del navegador.

Una vez ejecutado, ya sea por doble clic del usuario o por accesos indebidos a URL’s maliciosas (junto con navegadores no actualizados y/o obsoletos) el ransomware cifra los archivos del sistema y añade la extensión .crypt al nombre de cada fichero. Acabado el trabajo de cifrado, el propio virus, informa al usuario de que ha sucedido, con que clave de cifrado y como recuperar los ficheros previo pago de una cantidad estipulada previamente y que en la mayoría de casos, según el ciberdelincuente vea variará muy probablemente. ¿Por qué variará? El atacante suele pedir que se le envíe un fichero cifrado para demostrar a la víctima que puede descifrarlo. Normalmente, por la precipitación del inexperto usuario y por la gravedad del asunto, este enviará algún fichero relevante y es así como el atacante obtendrá información del usuario de cierta forma pudiendo deducir si es un particular o una empresa. En el segundo caso, suele elevar el precio ya que los datos de una empresa suelen tener más valor que los de un particular.

Ransomware-pic

Hay que decir que la variedad de ransomware es bastante amplia con unas 60 “clases” existentes. Es por ello que no existe un algoritmo universal para combatirlo. No obstante, siempre hay un rayito de esperanza y es que en el caso de CryptXXX, los ficheros no emplean RSA-4096 como suele rezar el aviso después de que te infecta el equipo. Es decir, que con esta variante los atacantes se “tiran el farol” de que emplea RSA-4096

Es por ello que gracias al trabajo de Kaspersky Lab ahora hay bastantes posibilidades de que si CryptXXX se encuentra en nuestros sistemas, sea posible recuperar los archivos sin gastarnos nada. Un requisito indispensable para poder proceder con el descifrado de los ficheros es que se debe tener al menos un fichero no cifrado (en algún correo, copia de seguridad, etc…) para poder realizar el proceso.

Los usuarios de las soluciones de Kaspersky Lab están ahora más protegidos porque el kit de exploit de Angler usado por el ransomware CryptXXX se detecta en etapas tempranas de infección, gracias a la tecnología de prevención y bloqueo de las acciones de exploit de las soluciones de Kaspersky Lab.

Podéis descargar el kit anti-CryptXXX aquí

Recomendaciones para evitar infecciones:
1.- Hacer copias de seguridad periódicamente.

Si es cada día, mejor. Hoy en día los sistemas informáticos pueden soportar procesamiento de copias de seguridad bastante grandes. Sino dividir el proceso o alargarlo cada dos-tres días. Utilizar programaciones de madrugada ayuda a realizarlo sin entorpecer las tareas de trabajo.

2. Actualizar siempre el sistema operativo y navegadores.

No es perder el tiempo, hay que hacerlo ya que es por esto por lo que suelen ser vulnerables todos los sistemas.

3. Instalar aplicaciones de seguridad.
Existe multitud de soluciones en el mercado para combatir el malware y otras amenazas. Aparte del citado fabricante, Kapersky, existen alternativas muy interesantes como son ESET o SOPHOS.

En los siguientes enlaces a unos artículos de este tipo, por ejemplo, se habla de soluciones ENDPOINT que blindan tus equipos, evitando por ejemplo, que los USB estén siempre disponibles para enchufar cualquier USB (o USB Rubber Ducky).

SOPHOS: http://hacking-etico.com/2015/03/18/controlando-dispositivos-usb-endpoints-parte-i/

ESET: http://hacking-etico.com/2015/03/24/controlando-dispositivos-usb-con-soluciones-endpoints-parte-ii/

 

Como veis, existen multitud de amenazas a cual más sofisticada o “extravagante” pero también existen medidas que pueden ahorrarnos muchos dolores de cabeza, aunque como todos sabemos nadie está 100% seguro. Como reza el eslogan del buen CISO: “Existen dos tipos de usuarios los que han sido hackeados y los que lo serán”.

 

Esperamos que os haya gustado.

 

¡Saludos!

Leave a Reply

You must be logged in to post a comment.