KeyPass: un ransomware voraz

15 Ago 2018

Hace poco hicimos una publicación sobre cómo un libro descargado o una modificación para un juego puede llevar consigo algo indeseable. Durante los últimos días, hemos estado observando el caso de estudio del rasomware KeyPass, el cual se distribuye de dicha manera. Descargas un instalador de apariencia inofensiva que luego instala un malware en tu computadora.

KeyPass es una pieza de ransomware indiscriminada que infecta computadoras de todo el mundo, sin ningún tipo de preferencia política o racial. En solo 36 horas, desde la tarde del 8 de agosto al 10 de agosto, el ransomware ha llegado a 20 países. Mientras escribo esto, Brasil y Vietnam han sido los que se han llevado el peor golpe, pero también ha habido víctimas en Europa y África, y el malware sigue conquistando el globo.

No deja ningún archivo sin cifrar a su paso

KeyPass tampoco tiene un criterio de selección de archivos. Muchos tipos de ransomware van a la caza de documentos con extensiones específicas, pero este solo se salta algunas carpetas. El resto del contenido del ordenador se cifra con la extensión .keypass. En realidad, no cifra por completo los archivos, solo los primeros 5 MB, pero eso no es ningún consuelo.

En los directorios “procesados”, el malware deja una nota en formato TXT en la que los creadores piden (en un inglés muy pobre) que las víctimas compren un programa y una clave individual para recuperar los archivos. Para convencer a las víctimas de que no malgastarán el dinero, se les invita a que envíen entre 1 y 3 archivos para que los ciberdelincuentes los descifren gratuitamente.

Los atacantes solicitan 300 dólares para devolver los archivos con la advertencia de que dicho precio solo es válido durante las primeras 72 horas tras la infección. Para recibir instrucciones detalladas sobre cómo recuperar los documentos, se supone que hay que ponerse en contacto con los estafadores en una de las dos direcciones de correo electrónico y enviarles el ID, como se especifica en la nota. No obstante, recomendamos que no pagues el rescate.

Una característica peculiar de KeyPass es que si por alguna razón la computadora no está conectada a Internet cuando el malware empieza a trabajar, esta no puede recuperar la clave de descifrado desde el servidor de comando y control. En ese caso, emplea una clave de tipo hard-code, lo que significa que los archivos se pueden descifrar sin problema. Por desgracia, en otros casos, no resolverás el problema con tanta facilidad. A pesar de la simple implementación, los ciberdelincuentes no cometieron ningún error con el cifrado.

En los casos que conocemos, el malware actuó de manera automática, pero sus creadores también introdujeron una opción de control manual. Claramente están pensando en distribuir KeyPass de manera manual, es decir, en ataques dirigidos. Si los ciberdelincuentes consiguen conectarse a la computadora de la víctima remotamente y descargar el ransomware en ella, con tan solo pulsar una tecla podrán cambiar los ajustes de cifrado, incluyendo la lista de carpetas que KeyPass ignora, así como el texto de la nota de rescate y la clave privada.

Cómo proteger tu ordenador de KeyPass

Todavía no se ha desarrollado una herramienta con la que descifrar los archivos afectados por KeyPass, por lo que el único modo de proteger tus archivos es prevenir la infección proactivamente. Siempre es mejor prevenir que lamentar, pues si te descuidas, lidiar con las consecuencias requerirá más tiempo y esfuerzo. Por ello, te recomendamos una serie de medidas que son tan efectivas para protegerte de KeyPass como de cualquier otro ransomware:

  • No descargues programas desconocidos de sitios dudosos ni hagas clic en enlaces si tienes alguna sospecha. Así, evitarás muchos de los malware que hay en Internet.
  • Haz copias de seguridad de tus archivos importantes. En esta publicación te contamos todo lo que debes saber sobre las copias de seguridad.
  • Utiliza una solución de seguridad de confianza que identifique y bloquee programas sospechosos antes de que puedan hacer ningún daño. Las soluciones de Kaspersky Lab, por ejemplo, tienen un módulo antiransomware.