Syrk: un ransomware oculto en las trampas de Fortnite

26 Ago 2019

Los cibercriminales intentan sacar el máximo partido a todo lo que cuente con el beneplácito del público, incluyendo los juegos más populares. Normalmente, el malware se hace pasar por la copia pirata o la versión para móvil de un juego, sobre todo cuando esta última no se ha lanzado oficialmente.

Una de las últimas novedades es Syrk, un ransomware cifrador que se hace pasar por un paquete de trampas para Fortnite que, en tan solo dos años, ya cuenta con 250 millones de usuarios. Syrk promete a los jugadores dos trampas: aimbot (una herramienta para apuntar de forma automática) y WH (también conocida como ESP, que descubre la ubicación de otros jugadores en el juego). Pero lo que hace realmente este paquete es cifrar los archivos de las víctimas y solicitar un rescate.

Un ransomware se hace pasar por un paquete trampas para Fortnite con aimbot y WH

Cómo funciona el ransomware Syrk

Según los investigadores de Cyren, Syrk es una copia intacta de un ransomware de fuente abierta. Una vez ejecutado, el software se conecta a un servidor de mando y control e inutiliza los siguientes programas:

  • Windows Defender.
  • UAC (el sistema que solicita permiso de usuario para acciones de administración).
  • Aplicaciones de supervisión de proceso que pueden utilizarse para detectar la infección, como Task Manager, Process Monitor y Process Hacker.

Para que el usuario no se pueda deshacer de cifrador con tan solo reiniciar el equipo, este también se añade a sí mismo a la lista de carga automática. Si hay una memoria USB conectada a la computadora, Syrk también intentará infectarla.

Entonces, el malware comienza a ubicar y cifrar archivos multimedia, documentos de texto, hojas de cálculo y presentaciones y archivos ZIP, RAR, Photoshop y Microsoft Visual Studio. Al archivo resultante le añade la extensión .SYRK.

La pantalla muestra una solicitud de rescate que no se puede cerrar.

https://twitter.com/leotpsc/status/1156875558174769152

El texto aparece con la máscara de Guy Fawkes de fondo y afirma que la única forma de recuperar los archivos es contactar con los cibercriminales por correo electrónico y pagar. La víctima cuenta con un tiempo limitado para ello: Syrk eliminará archivos cifrados cada dos horas, primero las carpetas con imágenes, después las del escritorio y, por último, los documentos del usuario.

Cómo recuperar tus archivos gratis

Tenemos una buena noticia: aunque Syrk haya penetrado en tu computadora y cifrado tus documentos, no tienes que pagar por el rescate. Su versión actual almacena la clave necesaria para descifrar los archivos del equipo infectado en un archivo llamado -pw+.txt or +dp-.txt dentro de la carpeta C:\Users\Default\AppData\Local\Microsoft\.

Para recuperar tus archivos:

  • Copia la clave.
  • En la ventana de solicitud del rescate, pulsa en Mostrar mi identificador para abrir una página que muestra tu identificador y te invita a Introducir la clave para descifrar los archivos.
  • Pega la clave en el campo conveniente y pulsa Descifrar mis archivos.

El programa recuperará las fotos y los documentos cifrados y creará y ejecutará dos archivos .exe, que eliminarán los restos del malware.

Hay otra forma de recuperar tus archivos, aunque es más complicada. Lo cierto es que el malware incluye un componente de descifrado que recuperará los documentos, siempre que consigas extraerlo y ejecutarlo. Sin embargo, la infección tendrá que eliminarse de forma manual.

Cómo protegerte del ransomware

Según los investigadores, se pueden recuperar los datos eliminados por Syrk, aunque es posible que necesites la ayuda de profesionales. Recuperar los archivos con la ayuda de una clave almacenada localmente funciona, pero los creadores del malware pueden reactivar su herramienta para denegar a los usuarios la oportunidad de descifrar sus archivos sin pagar el rescate. Como siempre, la mejor estrategia es evitar que el ransomware llegue a afectarte.

  • No descargues nunca programas de fuentes en las que no confías, aunque te prometan grandes ventajas para tus juegos; es decir, especialmente si prometen grandes ventajas para tus juegos.
  • Haz una copia de seguridad de tus archivos y almacénalos para que nadie pueda acceder a ellos directamente desde tu computadora. Si utilizas unidades de disco duro o memorias USB, mantenlas conectadas solo mientras se realice la copia de seguridad.
  • Instala una solución de protección de confianza. Kaspersky Internet Security detecta Syrk como un objeto malicioso, por lo que nunca podrá acceder a tus archivos, aunque intentes descargarlo y ejecutarlo.