Nueva versión indescifrable de CryptXXX

La nueva versión del ransomware CryptXXX, es el resultado del trabajo de los delincuentes luego de discontinuar TeslaCrypt y hacer pública su master-key de descifrado CryptXXX ahora utiliza un nuevo algoritmo de cifrado que hace imposible su descifrado (hasta ahora).

Como en las versiones anteriores, CryptXXX 3.0 modifica las claves del registro y toma el control del sistema, redirigiendo la conexión de Internet y esto le permite recoger información sensible del usuario y enviarla a su servidor comando y control server (C&C).

Además de difundirse a través de archivos adjuntos de correo spam y sitios web maliciosos, CryptXXX también se distribuye con el Angler exploit kit, una herramienta que permite explotar vulnerabilidades en Adobe Reader, Java, Silverlight y Adobe Flash Player. Esta herramienta es utilizada desde 2015 y está vinculado a otras campañas masivas de ransomware como 7ev3n, TeslaCrypt, y troyanos bancarios del tipo PoS.

CryptXXX escanea todas las unidades de disco locales, extraíbles y mapeadas del sistema, cifra los archivos almacenados y añade una extensión .crypt, haciendo los archivos inaccesibles para su dueño. 

Después del cifrado, se bloquea la pantalla y se cambia el escritorio con una imagen que sirve como nota de rescate y que instruye a la víctima de cómo pagar para tener la clave de descifrado necesaria para desbloquear los archivos afectados. Los enlaces incluyen sitios TOR y el pago se debe realizar en Bitcoin, con cantidades que van desde U$S 500 a U$S 2.100.

La primera y segunda versiones de CryptXXX fueron contrarrestadas por expertos en seguridad con  las herramientas Decryptor 1.0 y 2.0. CryptXXX 3.0, lanzado el 21 de mayo, implementa un nuevo algoritmo de cifrado y hace que estas herramientas no funcionen.

Con la reciente salida del mercado de TeslaCrypt, esta es la confirmación de que los ciberdelincuentes están poniendo todas sus fichas en esta nueva versión CryptXXX.

Fuente: TrendMicro