26 Abr 2016

Cómo descifrar el ransomware CryptXXX

Malware Noticias Seguridad

La experiencia habitual de un usuario con ransomware es esta: abres una página web y, accidentalmente, descargas e instalas un software. Puede que ni te des cuenta de haberlo hecho. Puede que no pase nada durante un tiempo, hasta que ves una notificación diciéndote que todos tus archivos han sido cifrados por un troyano que pide una recompensa monetaria a cambio de estos. Compruebas la veracidad de este mensaje y te das cuenta de que no puedes abrir ninguno de tus archivos. También ves que están actualizados con la siniestra extensión .crypt.

cryptxxx-featured

Si te encuentras en esta situación, parece que tu sistema ha sido infectado con un ransomware CryptXXX. Es un malvado troyano que cifra los archivos y roba tus datos personales y bitcoins. Pero tenemos buenas noticias: existe una herramienta gratuita que puede curar tu sistema de esta infección.

Qué es CryptXXX

Si estás buscando el manual de descifrado de archivos, puedes saltarte esta parte, puedes hacer scroll en esta página, la información que buscas está más abajo. A continuación, cubriremos varios factores sobre el troyano.

En abril, 15 investigadores de Proofpoint descubrieron un nuevo ransomware que utilizaba el kit de exploit de Angler para infectar dispositivos Windows. Ya que los cibercriminales no le habían dado ningún nombre a su creación, los investigadores la llamaron CryptXXX. Es posible que hayan elegido ese nombre porque el troyano tiene el desagradable hábito de añadir la extensión .crypt a los nombres de todos los archivos infectados y XXX es el segundo nombre de Anglers.

CyptXXX es la muestra de un interesante ransomware. Este cifra los archivos en todo el almacenamiento de datos adjunto un tiempo después de que el PC haya sido infectado. Los criminales utilizan este intervalo para confundir a las víctimas y hacer más difícil la detección de las páginas web que difunden el malware.

Al terminar el cifrado, el troyano crea tres manuales: un archivo de texto, una imagen y una página web HTML. La imagen se configura como fondo de pantalla (tal vez para dejarlo más claro). La página web se abre en el navegador mientras el archivo de texto se queda en el disco duro, por si acaso. Todos los manuales contienen un texto similar.

Estos informan a las víctimas que sus archivos han sido cifrados con la ayuda de RSA4096, un algoritmo de cifrado más fuerte, y demandan un rescate en bitcoins para poder recuperar los datos. El usuario tiene que instalar el navegador de Tor y seguir el enlace del manual para abrir la página web de onion, que incluye la forma de pago y las indicaciones detalladas. Incluso cuenta con una página de preguntas frecuentas, ¡todo para facilitar su uso!

CryptXXX también es muy curioso y codicioso: no solo cifra los archivos, sino que también roba los bitcoins guardados en los discos duros de las víctimas y copia otros datos que pueden ser útiles para los criminales.

Es horrible pero… ¡Tenemos la cura!

Suele ser muy difícil encontrar un algoritmo de descifrado universal para un ransomware moderno. Por eso, normalmente lo único que la víctima puede hacer es pagar el rescate. Pero no recomendamos hacerlo a menos que sea el último recurso.

Afortunadamente, CryptXXX no resultó ser tan difícil de descifrar. Los expertos de Kaspersky Lab crearon una herramienta que puede ayudar a los usuarios a recuperar los archivos cifrados.

La herramienta RannohDecryptor fue inicialmente creada para descifrar archivos que sufrieran la infección del ransomware Rannoh. Con el tiempo, esta adquirió funciones adicionales y útiles. Ahora se puede utilizar para curar archivos infectados por CryptXXX.

Por lo tanto, si el ransomware CryptXXX logra entrar en tu sistema, no todo está perdido. Para recuperar tus archivos necesitaremos la versión original (no cifrada) de al menos un archivo que haya sido víctima de CryptXXX. Si tienes la copia de seguridad de más archivos como este, también funcionará.

Después debes hacer lo siguiente:

1. Descarga la herramienta y ábrela.

2. Abre las opciones de configuración y elige los tipos de disco (extraíble, de red o disco duro) para el escaneo. No selecciones la opción de “Eliminar archivos cifrados después de descifrar” hasta que estés 100 % seguro de que los archivos descifrados se abren correctamente.

3. Haz clic en el enlace de “Empezar escaneo” y elige dónde se encuentran los archivos .crypt (ese archivo del cual también tienes una copia descifrada).

4. Después, la herramienta te pedirá el archivo original.

5. Después, RannohDecryptor comenzará a buscar todos los archivos con la extensión “.crypt” e intentará descifrarlos, estos pesarán menos que los originales. Cuanto más grande sea el archivo que introduzcas a la herramienta, más archivos descifrará.

¡Prepárate con antelación!

Es mejor no probar suerte y evitar que tu ordenador se infecte con CryptXXX. Nuestra herramienta de descifrado funciona, pero pronto los criminales podrían lanzar una nueva versión del mismo ransomware, más inteligente. Los criminales suelen cambiar el código malware de forma que sea imposible descifrar los archivos infectados. Por ejemplo, esto es lo que pasó con el ransomware de TeslaCrypt: érase una vez una herramienta de utilidad que curaba con éxito los archivos cifrados, pero ahora es prácticamente inútil.

Recordemos también que CryptXXX roba datos personales y dinero: compartirlos con los criminales seguramente sea una mala idea.

Para protegerte sigue estas reglas de ciberseguridad.

  1. Haz copias de seguridad periódicamente.
  1. Instala todas las actualizaciones importantes de tu sistema operativo y tus navegadores. El kit de exploit de Angler, utilizado por CryptXXX, aprovecha las vulnerabilidades del software para descargar e instalar el ransomware.
  1. Instala una solución de seguridad apropiada. Kaspersky Internet Security ofrece una protección multicapa contra el ransomware. Kaspersky Total Security puede complementar la protección con copias de seguridad automáticas.
probar kaspersky gratis 3 meses

Aquí podrás encontrar más información sobre cómo protegerte contra el ransomware.