Según los expertos de seguridad de Bleeping Computer, el conocido
ransomware CryptXXX, ahora también conocido como UltraCrypter, ha cambiado su
código en la última versión detectada hace tan solo unas horas en la que,
además de incluir cambios internos en el comportamiento general de la
herramienta maliciosa, ahora cifra los datos de sus víctimas añadiendo una
extensión aleatoria, en hexadecimal. Por ejemplo, los expertos de seguridad han
detectado que una misma copia del ransomware cifra, a una víctima, añadiendo a
todos los archivos la extensión .AC0D4 y a otra añadiendo la extensión .DA3D1.
Por el momento, los expertos de seguridad están intentando identificar cómo genera el ransomware la extensión, aunque lo más probable es que sea de forma aleatoria, utilizando entropía. Este hecho dificulta notablemente la recuperación de los datos de forma automática mediante las herramientas diseñadas en el pasado ya que, al tener los archivos una extensión diferente para cada usuario, es bastante más complicado crear una herramienta universal para recuperarlos.
CryptXXX sigue utilizando el mismo algoritmo y la misma
forma de pago
- Por el momento, el modus operandi de este ransomware es igual que el de sus versiones anteriores. Cuando infecta al usuario, automáticamente genera un ID único junto a una clave privada, los cuales se envían al servidor de los piratas informáticos y quedan asociados de manera que si el ID realiza el pago, se le envía solo su clave privada. Una vez que el ID y la clave están ya subidos, comienza el cifrado utilizando un cifrado RSA-4096.
- Finalmente se generan 3 archivos diferentes .txt, .html y .bmp con el ID del usuario desde donde se pueden ver las instrucciones para el pago y recuperación de los datos.
- Aunque aparentemente el algoritmo no ha cambiado, las herramientas existentes para recuperar los datos de forma totalmente gratuita han dejado de funcionar, por lo que, de caer víctimas de esta amenaza, tendremos que esperar a que las empresas de seguridad creen nuevas versiones preparadas para estas extensiones aleatorias (por ejemplo, pidiendo al usuario que la introduzca o que cargue un archivo cifrado para descifrar todos los demás) ya que, de lo contrario, el programa no sabrá sobre qué archivos debe actuar.
- Es posible que este sea un primer paso hacia algo mucho más peligroso. Si los piratas informáticos quieren complicar aún más la tarea de recuperación es posible que, tarde o temprano, terminen por generar extensiones aleatorias y diferentes a cada uno de los archivos, llegando a ser esto algo completamente caótico.
