Los ciberdelincuentes han creado un nuevo virus informático que cifra
los archivos de los usuarios y que lo han bautizado como XRTN, adquiriendo
muchas de las características de ValueCrypt.
Hay que tener en cuenta que el segundo apareció por primera vez el pasado mes de marzo, asignándole una visibilidad muy diferente durante el transcurso de los meses. El primer aspecto que tienen en común es que utilizan el cifrado RSA-1024. También es muy similar el proceso de notificación al usuario de que existen ciertos archivos que han sido cifrado y que para recuperar su acceso debe abonar cierta cantidad de dinero.
Sin embargo, si hacemos mención al proceso de infección aquí es donde
comienzan a diferenciarse. Esta nueva variante no llega de forma directa al
equipo, sino que el usuario realiza la descarga de un documento Word que posee
una macro. Teniendo en cuenta que estas se encuentran deshabilitadas, los
ciberdelincuentes se las agencian para que los usuarios las activen y así
ejecutar el código JavaScript. Este será el encargado de realizar la descarga
del ejecutable que procederá a instalar XRTN.
Se trata de una técnica que se utiliza con algunas versiones de TeslaCrypt, con la única diferencia de que en vez de utilizar un documento de la suite de ofimática Microsoft Office se utiliza directamente otro malware al que se le atribuyen otras funciones, como por ejemplo, comprobar el nivel de seguridad del equipo.
XRTN
no utiliza servidor de control
- A diferencia de otros ransomware que almacenan de forma remota las claves de cifrado, en esta ocasión se produce el almacenamiento de forma local en cada uno de los equipos infectados, utilizando el archivo XRTN.key para guardar la clave utilizada. Expertos en seguridad también han conseguido crear un listado con los archivos que son sensibles a verse afectados por este: .xls, .xlsx, .doc, .docx, .pdf, .rtf, .cdr, .psd, .dwg, .cd, .mdb, .1cd, .dbf, .sqlite, .jpg, y .zip. Sin embargo, que la clave de almacene en el equipo no sirve de nada, ya que se necesita la clave privada que se encuentra en propiedad de los ciberdelincuentes.
- Por el momento no existe una herramienta que permita recuperar los archivos, por lo tanto, la única posibilidad que es más o menos fiable es recurrir a copias de seguridad, ya que el pago de la cantidad de dinero solicitada no es recomendable.
