Como parte del compromiso permanente de Kaspersky Lab para proteger a los usuarios contra todo tipo de ciberamenazas, la empresa ha desarrollado una herramienta de descifrado para ayudar a recuperar los archivos secuestrados de las víctimas de CryptXXX. El ransomware CryptXXX, particularmente malicioso, se enfoca en dispositivos Windows con el fin de cifrar archivos, copiar datos y robar Bitcoins.
El ransomware CryptXXX se distribuye a los usuarios de Internet a través de correos electrónicos no deseados, los cuales contienen archivos adjuntos infectados o enlaces a sitios web maliciosos. Páginas web que alojan un kit de exploit Angler están distribuyendo CryptXXX. Tras la ejecución, el ransomware cifra los archivos del sistema infectado y asigna una extensión .crypt al nombre del archivo. Las víctimas reciben una notificación informándoles que sus archivos están cifrados con la ayuda de RSA-4096– un algoritmo de cifrado seguro– y se les solicita el pago de un rescate de hasta 500 bitcoins para que puedan liberar sus datos.
Actualmente existen más de 50 familias de ransomware y no hay ningún algoritmo único universal para contrarrestar la amenaza o el impacto de los ataques. Sin embargo, en el caso de CryptXXX, las afirmaciones de los delincuentes con respecto al RSA-4096 resultó ser sólo un alarde, y Kaspersky Lab fue capaz de desarrollar una herramienta de descifrado, la cual ya está disponible de manera gratuita en el sitio web de asistencia de Kaspersky Lab.
Gracias al trabajo de Fedor Sinitsyn, Analista Sénior de Malware en Kaspersky Lab, quien desarrolló la herramienta, las víctimas pueden ahora tener la seguridad de que si el ransomware CryptXXX entró a sus sistemas, todavía es posible recuperar los archivos sin pagar el rescate. Para descifrar los archivos afectados, la herramienta de Kaspersky Lab necesitará la versión original (no cifrada) de al menos un archivo, que se haya infectado con CryptXXX.
Los usuarios de las soluciones de Kaspersky Lab tienen una protección adicional debido a que el kit de exploit Angler que usa el ransomware CryptXXX se puede detectar en las primeras etapas de la infección por la tecnología Prevención Automática de Exploit de Kaspersky Lab.
Los productos de Kaspersky Lab detectan este kit de exploit bajo las siguientes sentencias: HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.
Para que los usuarios se protejan de la infección deben hacer lo siguiente:
- Hacer copias de respaldo con regularidad.
- Instalar todas las actualizaciones importantes del sistema operativo y navegadores. El kit de exploit Angler, que CryptXXX utiliza, aprovecha las vulnerabilidades del software para descargar e instalar el ransomware.
- Utilizar una buena solución de seguridad. Kaspersky Internet Security ofrece protección estratificada contra ransomware. Kaspersky Total Security puede complementar la protección integral gracias a que ofrece la generación de copias de seguridad automáticas.
Las empresas pueden utilizar la aplicación Kaspersky Security for Windows Server que cuenta con la tecnología Anti-Cryptor la cual está diseñada para proteger la infraestructura de TI contra cryptomalware.
Más información sobre CryptXXX se puede encontrar en el blog de Kaspersky Lab: https://blog.kaspersky.com.mx/cryptxxx-ransomware/7028/