Después de unas semanas de relativa tranquilidad, donde la actividad se ha trasladado sobre todo a las criptomonedas, los ciberdelincuentes vuelven a la carga con un nuevo ransomware. DexCrypt, que así es como se conoce a esta amenaza, se trata de una variante de la ya conocida MBRLocker. Se solicita el pago de 30 Yuan para recuperar el acceso al dispositivo y la información.
La moneda solicitada nos da una pista de cuál ha sido el origen de esta amenaza. En un primer momento, estuvo llamada a afectar a los usuarios chinos. Sin embargo, ya se sabe que lo que sucede en la mayoría de estos casos. Se empieza por ataques dirigidos. Posteriormente, el código se distribuye en el lado oscuro de la red, pudiendo incluso mutar con nuevas funciones. El resultado, es que, tras unos días de ataques dirigidos, se pierde el rumbo y la amenaza comienza a distribuirse ” a la deriva” y sin ningún tipo de control a los usuarios de numerosos países.
Para todos aquellos que no sepan en qué consistía el uso de MBRLocker, ahora vamos a refrescaros brevemente la memoria. En primer lugar, indicar que el MBR se trata del primer sector de un disco de un equipo, donde se ubica la información del arranque del sistema. Si los datos de este sector no son los correctos, el sistema operativo nunca arrancará quedando los datos totalmente inaccesibles a través de la vía tradicional.
Si disponemos de un boot completo de la BIOS, si nuestro equipo estaba afectado por esta amenaza veíamos como el arranque se detenía en el momento de análisis de las unidades de disco del sistema.
Con la llegada de DexCrypt, podría decirse que el resultado es más o menos similar.
Imposibilidad de arranque del equipo Windows
Indicar que se trata de un ransomware que no tiene como fundamento cifrar la información del disco, sino imposibilitar el arranque normal del equipo alterando la información almacenada del MBR.
El resultado es una calavera construida con caracteres ASCII que se muestra durante la verificación de la BIOS. Junto a esta, los ciberdelincuentes indican la cantidad que se debe pagar y el monedero en el que se debe depositar dicha cifra.
En estos casos, expertos en seguridad recomiendan no realizar el pago y recurrir a herramientas de restauración del sistema y copias de seguridad para recuperar el acceso a la información que ha quedado bloqueada.
Incluso teniendo en cuenta que se trata de una configuración errónea de la información ubicada en el MBR, se podría recurrir a una distribución Linux para realizar el montaje del disco o particiones dañadas y recuperar la información necesaria antes de proceder al formateo o reparación.
DexCrypt es detectable por herramientas de seguridad
Varias compañías desarrolladoras de softwares de seguridad y la propia Microsoft han salido al paso de la aparición de este nuevo ransomware. Desde Redmond han confirmado que Windows Defender es capaz de detectar la amenaza antes de que se instale y reinicie el equipo. Por parte de otras empresas, indican que la programación de DexCrypt no dista mucho de la MBRLocker, de ahí que su detección no sea complicada.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad