CRYSIS: nueva familia de Ransomware detectada
El ransomware sigue siendo una amenaza muy presente y continuamos viendo oleadas día si y dia tambien de este malware tratando de afectar al mayor número de usuarios. Unos ejemplos de este ransomware puede ser el TorrentLocker con la falsa factura de Endesa o con la notificación de que tenemos una carta certificada en Correos pendiente de entrega. Con estas campañas tan recientes y la propagación masiva, podemos analizar que hay una nueva variante que está consiguiendo grandes niveles de propagación en nuestro país. Las herramientas de análisis las detectan como FILECODER.Crysis.
Este ransomware es capaz de cifrar archivos en discos duros locales, extraíbles y unidades de red, donde además de emplea fuertes algoritmos de cifrado y un esquema que lo hace especialmente difícil de romper en un tiempo razonable.
Lo que realmente observamos en esta variante y que en cierto modo la diferencia de otras como el TorrentLocker de Endesa, es que añade más de una extensión al archivo infectado; extensiones dobles para engañar a los usuarios. Usando este método tan simple y a la vez tan efectivo, se consigue engañar a muchos usuarios para que abran el fichero ejecutable.
Tras ejecutarse, esta variante cifra todos los ficheros existentes en el equipo (incluso aquellos que no tienen extensión, a diferencia del ransomware Locky que dejaba sin infectar este tipo de archivos) dejando únicamente aquellos necesarios para que el sistema funcione y los haga llegar a un servidor remoto controlado por los delincuentes.
Tras finalizar este cifrado, se genera un fichero de texto en el escritorio, acompañado en algunas veces con una imagen con nombre DECRYPT.jpg que muestra como ha de realizarse el pago del rescate.
CONCLUSIÓN
Podemos evitar que este tipo de malware se convierta en una autentica pesadilla teniendo nuestras copias de seguridad actualizadas, nuestro antivirus y resto de aplicaciones de seguridad al día y aprender a reconocer el patrón de ataque empleado por estos ransomware.
Si tú o tu empresa necesitáis ayuda para tratar de desbloquear documentación encriptada, establecer nuevas políticas de seguridad para prevención de este tipo de problemas, configuración de software… no dudéis en contactar con SEMSIN Informática y estaremos a vuestra completa disposición.
eMail: info@semsin.es SAT: sat@semsin.es Tlfn: 988 254 023
