Comenzaremos con lo básico del tema… ¿Qué es un Ransomware?

Bueno, pues un ransomware parece ser una de las armas favoritas del hacker, es un software malicioso que infecta nuestro equipo y es capaz de bloquearlo desde una ubicación remota y encripta nuestros archivos apoderándose totalmente de nuestra información y datos almacenados. La característica principal de este virus es que pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate, dicho pago se hace generalmente en moneda virtual.

Estos son los ataques mas recientes, ocurridos a mediados de este año:

  • WannaCry (12 de mayo de 2017): En cuanto tu dispositivo es infectado por el virus, este bloquea el acceso a los datos que contenga hasta que el propietario entregue una cantidad económica (entre 300 y 600 dólares en bitcoins en un tiempo límite) para poder recuperar el acceso a los archivos cifrados por el propio ransomware, de no pagarse esta cantidad en el tiempo acordado, todos los archivos son eliminados automáticamente.
  • NotPetya (27 de junio de 2017): Su funcionamiento es similar a WannaCry, pero es mas virulento, mucho más complejo y puede entrar de otras maneras en una organización (por emails de ‘phishing’ con documentos .xls adjuntos infectados), si esto no funciona, tiene aún recursos para saltar de máquina en máquina, dentro de la red corporativa, buscando credenciales en el ordenador atacado y probarlas en otros, por si alguien usó la misma contraseña en dos sitios para conseguir el acceso. Esto lo realiza usando usa herramientas comunes de Windows que le sirven también para buscar otros agujeros y colarse. Una vez ha infectado el equipo de la víctima emplea varias técnicas para infectar otras máquinas dentro de la misma red.

 

Es el gusano-ransomware más destructivo conocido hasta el momento ¡Cuando infecta, no tiene piedad!

Y ahora nuestra nueva amenaza:

  • 0000 CryptoMix (septiembre de 2017): Como es una variación, esta amenaza tiene actualizaciones mínimas con la versión anterior, a diferencia de los ransomware mencionados anteriormente, que te devolvían tu información después de pagar el “rescate”, este virus no lo hace, el usuario atacado debe recurrir a copias de seguridad de los archivos o puntos de restauración del sistema.

Estos son algunos puntos que se deben tomar en cuenta

  • Los usuarios que utilizan S.O. Windows son las principales victimas.
  • Este virus se difunde via correo electrónico.
  • Los equipos infectados reciben una nota explicándole a las victimas que ha sucedido por medio de un archivo llamado TXT
  • Los atacantes protegen su identidad utilizando direcciones de correo anónimas, las cuales utilizan para comunicarse con sus victimas, por ejemplo, y0000@tuta.io, y0000@protonmail.com, y0000z@yandex.com y0000s@yandex.com.
  • La extensión del archivo ahora es .0000.
  • En el equipo del usuario, 0000 CryptoMix posee 11 claves RSA de 1024 bits que se utilizan para cifrar la clave de cifrado de los archivos, haciendo efectivo el ataque sin disponer de acceso a Internet.

 

Y vendrán cosas peores…

 

 

Autor: Manuel Tohe

Deja un comentario