Reemplazará CryptXXX a TeslaCrypt como ransomware?

por Jaaziel Carlos, Anthony Melgarejo, Rhena Inocencio y José C. Chen

La salida de TeslaCrypt del círculo ransomware ha causado olas en el mundo criminal cibernético. Los malos parecen estar asaltando barcos con la esperanza de conseguir un pedazo de la acción que anteriormente era propiedad de TeslaCrypt. En línea con esto, los indicadores apuntan a un nuevo hombre fuerte en el juego ransomware: CryptXXX.

CryptXXX (detectado como RANSOM_WALTRIX.C) ha sido el motivo de cambios recientes; uno de las cuales tuvo lugar después de una herramienta de descifrado libre de la superficie que permitió que las víctimas no tengan en cuenta el rescate. No sólo cifra los archivos, recientes variantes CryptXXX tienen ahora una técnica de pantalla de bloqueo que impide que los usuarios accedan a sus escritorios.

1

 

Vector de llegada

CryptXXX se propaga a través de sitios web comprometidos y kits de exploits Angler alojados en sites hackeados.

diagram

Figura 1. Vector de infección CryptXXX a través de Angler EK

Una vez que un usuario visita el sitio de un anuncio de relojes malicioso, CryptXXX se deja caer por las variantes de BEDEP malware. Una vez que se llega a un ordenador, en primer lugar comprueba si se está ejecutando en un entorno virtual. Si detecta esto, se termina en sí.

Lo que lo hace difícil detener CryptXXX es que funciona junto con un programa de vigilancia. CryptXXX ejecuta dos rutinas simultáneas; uno que cifra, y el otro para detectar el comportamiento anormal del sistema. Cuando el organismo de control detecta un comportamiento anormal del sistema que detiene el proceso de cifrado, se reinicia la rutina de cifrado. Esto da lugar a un ciclo de detener el malware, y el organismo de control de reiniciar el software malicioso.

figure02_cryptxxxt

Figura 2. CryptXXX ejecuta procesos simultáneos como svchost.exe

CryptXXX encripta todos los archivos con las siguientes extensiones:

3DM, .3DS, .3G2, .3GP, .7z, .accdb, .aes, .AI, .AIF, APK, .APP, .ARC, .ASC, .ASF, .ASM, .asp, .ASPX , ASX, AVI, BMP, .BRD, .BZ2, .C, .CER, .CFG, .CFM, .CGI, .CGM, .class, .CMD, .CPP, .CRT, .CS, .CSR , .CSS, CSV, CUE, .DB, DBF, .DCH, .DCU, .dds, .DIF, .DIP, .DJV, .djvu, .DOC, .DOCB, .docm, .docx,. DOT, .dotm, .dotx, .dtd, DWG, DXF, .EML, .EPS, .fdb, FLA, FLV, .FRM, .gadget, .GBK, .gbr, .GED, .GIF, .gpg, .GPX, .GZ, .H, .H, .HTM, .HTML, .HWP, .ibd, .IBOOKS, .IFF, .INDD, .JAR, .JAVA, .jks, .JPG, .JS , .JSP, .KEY, .kml, .KMZ, .LAY, .LAY6, .LDF, .LUA, .M, M3U, M4A, M4V, .MAX, MDB, MDF, .MFD,. MID, MKV, .MML, .MOV, .mp3, .mp4, .mpa, .mpg, .MS11, MSI, .MYD, .MYI, .NEF, .NOTA, OBJ, .odb, .odg, .odp, .ods, .ODT, .OTG, .OTP, .OTS, .ott, .P12, .páginas, .PAQ, .pas, .PCT, PDB, .PDF, .PEM, .PHP, .PIF , .PL, .plugin, PNG, .POT, .potm, .potx, .PPAM, PPS, .ppsm, .ppsx, .PPT, .pptm, .PPTX, .PRF, .PRIV, .PRIVAT,. PS, PSD, .PspImage, .PY, .QCOW2, .RA, RAR, .RAW, .RM, .RSs, RTF, .SCH, .SDF, .SH, .SITX, .SLDX, .SLK,. SLN, .SQL, .SQLITE, .SQLITE, SRT, .stc, .STD, .STI, .stw, .SVG, .SWF, .sxc, .sxd, .sxi, .SXM, .sxw, .TAR, .TBK, .tex, .TGA, .TGZ, .THM, .TIF, .TIFF, .TLB, .tmp, .TXT, .UOP, .UOT, .vb, .VBS .VCF, .VCXPRO, .vdi , .VMDK, .vmx, VOB, WAV, .WKS, WMA, WMV, .WPD, .WPS, .wsf, .XCODEPROJ, .xhtml, .xlc, .xlm, .xlr, .XLS,. XLSB, .xlsm, .XLSX, .xlt .xltm, .xltx, .xlw, .XML, .YUV, .ZIP, .zipx

También bloquea las pantallas del usuario impidiendo el acceso a cualquier otra herramienta. Como se mencionó anteriormente, esto parece una reacción a la herramienta descifrador anterior que dio lugar a su versión anterior de CryptXXX. Los usuarios todavía pueden acceder al sitio de pago a través de los enlaces proporcionados en la nota de rescate.

fogure03_ransomnote-640x350

Figura 3. Nota de rescate de CryptXXX

Otro cambio peculiar que introdujo CryptXXX es un largo período de espera antes de doblar la cantidad rescate. Mientras que otras familias ransomware duplican su precio en tan sólo 24 horas, CryptXXX da a los usuarios más de 90 horas para pagar el rescate antes de que se duplique. A diferencia de las familias ransomware que hacen precipitarse a los usuarios a pagar,  CryptXXX ofrece a los usuarios tiempo suficiente para conseguir el dinero del rescate.

ransomamt

Figura 4. Enlace que muestra que se duplicará el pago de 500 US $  si tarda más de 90 horas en pagar

Con rutinas actualizadas, y una propuesta de rescate más amigable, muchos cibercriminales están seguros sobre el CryptXXX. Esperamos más actualizaciones a realizar por los escritores para hacer de este ransomware una pesadilla para los usuarios que no tienen soluciones adecuadas ransomware.

Parando el ransomware

Angler EK es quizás uno de los más notorios paquetes de exploits que ataca cientos de site y forma parte de innumerables intentos de malvertising. Los usuarios siempre deben parchear con regularidad o actualizar sus programas, software y aplicaciones con las versiones más recientes para protegerse contra los abusos de vulnerabilidad. Los usuarios también deben seguir la regla 3-2-1 en el respaldo de archivos; crear tres copias de seguridad en dos medios diferentes, con una de las copias de seguridad almacenadas en un lugar separado.

Teniendo en cuenta que el ransomware también se puede propagar a través de adjuntos de correo electrónico de spam o enlaces en los mensajes de spam, los usuarios deben evitar abrir mensajes de correo electrónico sin verificar o hacer clic en los enlaces incorporados.

Trend Micro dice NO a ransomware. Se recomienda encarecidamente a los usuarios a no pagar las demandas de rescate, ya que los combustibles ciberdelincuencia y promueve una mayor propagación de ransomware.

Trend Micro ofrece diferentes soluciones para proteger a empresas, pequeñas empresas y usuarios domésticos para ayudar a minimizar el riesgo de ser afectados por el ransomware, como CryptXXX.

Las empresas pueden beneficiarse de una de varias capas, paso a paso enfoque con el fin de mitigar mejor los riesgos presentados por estas amenazas. Soluciones de correo electrónico y la gateway web como Trend Micro ™ de Deep Discovery ™ Email Inspector y InterScan Web Security ™ impide que el ransomware alcance a los usuarios finales. A nivel de puesto, Trend Micro Smart Protection Suites entregar varias capacidades como la monitorización de comportamiento y control de aplicaciones, y la protección de vulnerabilidades que reducen al mínimo el impacto de esta amenaza. Trend Micro Deep Discovery Inspector detecta y bloquea ransomware en las redes, mientras que Trend Micro Deep Security ™ detiene ransomware en los servidores ya sean físicos, virtuales o en la nube.

Para las pequeñas empresas, Trend Micro Worry-Free Advanced Services ofrece seguridad en el gateway de correo electrónico basado en la nube a través de Hosted Email Security. Su protección de endpoints además ofrece diversas posibilidades como la supervisión comportamiento y la reputación Web en tiempo real con el fin de detectar y bloquear ransomware.

Para los usuarios domésticos, Trend Micro Security 10 proporciona una protección robusta contra ransomware, mediante el bloqueo de sitios web maliciosos, correos electrónicos y archivos asociados a esta amenaza.

Los usuarios pueden aprovechar nuestras herramientas gratuitas como Trend Micro Lock Screen  Ransomware Tool, que está diseñado para detectar y eliminar ransomware de bloqueo de pantalla; Trend Micro Crypto-ransomware File Decryptor Tool, que puede descifrar ciertas variantes de cripto-ransomware sin pagar el rescate o el uso de la clave de descifrado.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.