{"id":13297,"date":"2018-08-15T13:51:53","date_gmt":"2018-08-15T19:51:53","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13297"},"modified":"2018-08-17T11:36:15","modified_gmt":"2018-08-17T17:36:15","slug":"keypass-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/keypass-ransomware\/13297\/","title":{"rendered":"KeyPass: un ransomware voraz"},"content":{"rendered":"

Hace poco hicimos una publicaci\u00f3n sobre c\u00f3mo un libro descargado o una modificaci\u00f3n para un juego<\/a> puede llevar consigo algo indeseable. Durante los \u00faltimos d\u00edas, hemos estado observando el caso de estudio del rasomware<\/i><\/a> KeyPass, el cual se distribuye de dicha manera. Descargas un instalador de apariencia inofensiva que luego instala un malware<\/i> en tu computadora.<\/p>\n

\"\"<\/p>\n

KeyPass<\/a> es una pieza de ransomware<\/i> indiscriminada que infecta computadoras de todo el mundo, sin ning\u00fan tipo de preferencia pol\u00edtica o racial. En solo 36 horas, desde la tarde del 8 de agosto al 10 de agosto, el ransomware<\/i> ha llegado a 20 pa\u00edses. Mientras escribo esto, Brasil y Vietnam han sido los que se han llevado el peor golpe, pero tambi\u00e9n ha habido v\u00edctimas en Europa y \u00c1frica, y el malware<\/i> sigue conquistando el globo.<\/p>\n

No deja ning\u00fan archivo sin cifrar a su paso<\/h2>\n

KeyPass tampoco tiene un criterio de selecci\u00f3n de archivos. Muchos tipos de ransomware<\/i> van a la caza de documentos con extensiones espec\u00edficas, pero este solo se salta algunas carpetas. El resto del contenido del ordenador se cifra con la extensi\u00f3n .keypass. En realidad, no cifra por completo los archivos, solo los primeros 5 MB, pero eso no es ning\u00fan consuelo.<\/p>\n

En los directorios \u201cprocesados\u201d, el malware<\/i> deja una nota en formato TXT en la que los creadores piden (en un ingl\u00e9s muy pobre) que las v\u00edctimas compren un programa y una clave individual para recuperar los archivos. Para convencer a las v\u00edctimas de que no malgastar\u00e1n el dinero, se les invita a que env\u00eden entre 1 y 3 archivos para que los ciberdelincuentes los descifren gratuitamente.<\/p>\n

\"\"<\/p>\n

Los atacantes solicitan 300 d\u00f3lares para devolver los archivos con la advertencia de que dicho precio solo es v\u00e1lido durante las primeras 72 horas tras la infecci\u00f3n. Para recibir instrucciones detalladas sobre c\u00f3mo recuperar los documentos, se supone que hay que ponerse en contacto con los estafadores en una de las dos direcciones de correo electr\u00f3nico y enviarles el ID, como se especifica en la nota. No obstante, recomendamos que no pagues el rescate<\/a>.<\/p>\n

Una caracter\u00edstica peculiar de KeyPass es que si por alguna raz\u00f3n la\u00a0computadora no est\u00e1 conectada a Internet cuando el malware<\/i> empieza a trabajar, esta no puede recuperar la clave de descifrado desde el servidor de comando y control. En ese caso, emplea una clave de tipo hard-code<\/i>, lo que significa que los archivos se pueden descifrar sin problema. Por desgracia, en otros casos, no resolver\u00e1s el problema con tanta facilidad. A pesar de la simple implementaci\u00f3n, los ciberdelincuentes no cometieron ning\u00fan error con el cifrado.<\/p>\n

En los casos que conocemos, el malware<\/i> actu\u00f3 de manera autom\u00e1tica, pero sus creadores tambi\u00e9n introdujeron una opci\u00f3n de control manual. Claramente est\u00e1n pensando en distribuir KeyPass de manera manual, es decir, en ataques dirigidos. Si los ciberdelincuentes consiguen conectarse a la\u00a0computadora de la v\u00edctima remotamente y descargar el ransomware<\/i> en ella, con tan solo pulsar una tecla podr\u00e1n cambiar los ajustes de cifrado, incluyendo la lista de carpetas que KeyPass ignora, as\u00ed como el texto de la nota de rescate y la clave privada.<\/p>\n

C\u00f3mo proteger tu ordenador de KeyPass<\/h3>\n

Todav\u00eda no se ha desarrollado una herramienta con la que descifrar los archivos afectados por KeyPass, por lo que el \u00fanico modo de proteger tus archivos es prevenir la infecci\u00f3n proactivamente. Siempre es mejor prevenir que lamentar, pues si te descuidas, lidiar con las consecuencias requerir\u00e1 m\u00e1s tiempo y esfuerzo. Por ello, te recomendamos una serie de medidas que son tan efectivas para protegerte de KeyPass como de cualquier otro ransomware<\/i>:<\/p>\n