CrypMic, un ransomware copia de CryptXXX

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Siempre hemos hablado de la reutilización de código en lo que se refiere a ransomware y el que nos ocupa es un claro ejemplo llevado a un caso extremo. Los expertos en seguridad, tras analizar la amenaza han confirmado que no solo visualmente es una copia de CryptXXX, sino que CrypMic también lo es lo referido a la lógica.

Estamos ante una copia idéntica donde la única diferencia es el nombre con el que se distribuye, ya que comparte la interfaz, las notas de información al usuario, el cifrado e incluso la forma de distribución, ya que hace uso del exploit Neutrino y también también sitios web que se han visto comprometidos.

ransomware-locky-cifrado-extremo-a-extremo

A nivel de infraestructura también posee un servidor de control, estableciendo comunicaciones de forma periódica para asignar identificadores únicos a los equipos infectados.

CryptXXX ha sido una amenaza a tener en cuenta durante mucho tiempo, sin embargo, hay que decir que la copia no es del todo perfecto aunque podría decirse que casi lo es. Aunque es una copia, parece que a nivel de implementación podría existir una diferencia que sería clave según los expertos en seguridad.

CrypMic siguiendo los pasos de PowerWare

Hace unos días hablábamos de otra amenaza que jugaba a imitar otras ya existentes, en esta ocasión Locky. Sobre el papel, la que nos ocupa debe disponer del mismo cifrado que CryptXXX, algo que según los expertos en seguridad no es así, utilizando AES de 256 bits. También hay que mencionar el número de archivos a cifrar siendo ligeramente inferior con respecto al que se basa, siendo en este último 933 mientras que para el ransomware que nos ocupa son 901.

Borrado de copias de seguridad

La única diferencia a favor de CrypMic es que se centra en el borrado de las copias de seguridad existentes en el equipo infectado. Esto quiere decir que además del cifrado, la acción a realizar con posterioridad es la búsqueda de copias de seguridad en las unidades de disco disponibles y proceder a su borrado, buscando de alguna forma obligar el pago de la cantidad solicitada.

Todo son similitudes salvando pequeños detalles, tal y como ya hemos visto, ya que incluso el método de pago y la utilización de la red Tor es un punto más en común.

No existe software para recuperar archivos, al menos por el momento

Aunque los expertos en seguridad ganan terreno a estas amenazas, por el momento habrá que esperar para ver una herramienta que permita recuperar a los archivos afectados.

Fuente:http://www.redeszone.net/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone