{"id":25606,"date":"2022-12-15T22:34:21","date_gmt":"2022-12-16T04:34:21","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25606"},"modified":"2022-12-15T22:34:21","modified_gmt":"2022-12-16T04:34:21","slug":"crywiper-pseudo-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/25606\/","title":{"rendered":"CryWiper: el falso ransomware"},"content":{"rendered":"<p>Nuestros expertos descubrieron el ataque de un nuevo troyano, al que denominaron CryWiper. A simple vista, este <em>malware<\/em>, que parece un <em>ransomware<\/em>, modifica los archivos, les a\u00f1ade una extensi\u00f3n adicional y guarda un archivo llamado README.txt con una nota de rescate, que contiene la direcci\u00f3n de un <em>wallet<\/em> de bitcoin, la direcci\u00f3n de correo electr\u00f3nico de contacto de los creadores del <em>malware<\/em> y el ID de la infecci\u00f3n. No obstante, la verdad es que este <em>malware<\/em> es un <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/wiper\/\" target=\"_blank\" rel=\"noopener\"><em>wiper<\/em><\/a> (borrador), y, de hecho, un archivo modificado por CryWiper no puede ser restaurado a su estado original, nunca. Entonces, si ves una nota de rescate y tus archivos tienen la nueva extensi\u00f3n .CRY, no corras a pagar el rescate: es in\u00fatil.<\/p>\n<p>En otras ocasiones ya hemos visto cepas de <em>malware<\/em> que terminaron por convertirse en borradores por accidente, debido a errores de sus creadores al implementar mal los algoritmos de cifrado. Sin embargo, no es ese el caso: nuestros expertos aseguran que el objetivo principal de los atacantes no es ganar dinero, sino la destrucci\u00f3n de datos. Los archivos no quedan realmente cifrados; en su lugar, el troyano los sobrescribe con datos generados de forma pseudoaleatoria.<\/p>\n<h2>Qu\u00e9 busca CryWiper<\/h2>\n<p>El troyano corrompe cualquier dato que no sea vital para el funcionamiento del sistema operativo. No perjudica a archivos con extensiones .exe, .dll. .lnk, .sys o .msi e ignora varias carpetas del sistema en el directorio C:\\Windows. El <em>malware<\/em> se enfoca en bases de datos, archivos y documentos de usuario.<\/p>\n<p>Nuestros expertos solo han visto ataques puntuales contra objetivos de la Federaci\u00f3n Rusa, hasta ahora. No obstante, como es costumbre, nadie puede garantizar que este c\u00f3digo no ser\u00e1 utilizado contra otros objetivos.<\/p>\n<h2>C\u00f3mo funciona el troyano CryWiper<\/h2>\n<p>Adem\u00e1s de sobrescribir directamente el contenido de los archivos con basura, CryWiper tambi\u00e9n:<\/p>\n<ul>\n<li>crea una tarea que reinicia el <em>wiper<\/em> cada cinco minutos usando el Programador de tareas;<\/li>\n<li>env\u00eda al servidor de mando y control el nombre de la computadora infectada y espera un comando para iniciar un ataque;<\/li>\n<li>detiene los procesos relacionados con: servidores de bases de datos MySQL y MS SQL, servidores de correo MS Exchange y servicios web de MS Active Directory (de lo contrario, se bloquear\u00eda el acceso a algunos archivos y ser\u00eda imposible corromperlos);<\/li>\n<li>elimina las instant\u00e1neas (<em>shadow copies<\/em> en ingl\u00e9s) de los archivos para que no se puedan restaurar (pero solo en la unidad C:, por alguna raz\u00f3n);<\/li>\n<li>desactiva la conexi\u00f3n al sistema afectado mediante el protocolo de acceso remoto RDP.<\/li>\n<\/ul>\n<p>No est\u00e1 claro del todo el prop\u00f3sito del \u00faltimo punto. Tal vez con esta desactivaci\u00f3n, los autores del <em>malware<\/em> intentan complicar el trabajo del equipo de respuesta a incidentes, que claramente preferir\u00eda tener acceso remoto al equipo afectado; en su lugar, tendr\u00edan que obtener acceso f\u00edsico. Para m\u00e1s informaci\u00f3n t\u00e9cnica sobre el ataque junto con sus indicadores de compromiso, visita <a href=\"https:\/\/securelist.ru\/novyj-troyanec-crywiper\/106114\/\" target=\"_blank\" rel=\"noopener\">nuestra publicaci\u00f3n en Securelist<\/a> (solo en ruso).<\/p>\n<h2>C\u00f3mo protegerse<\/h2>\n<p>Para mantener los equipos de tu empresa a salvo, tanto del <em>ransomware<\/em> como de los <em>wiper<\/em>, nuestros expertos recomiendan que:<\/p>\n<ul>\n<li>controles de forma minuciosa las conexiones de acceso remoto a tu infraestructura: proh\u00edbe las conexiones desde redes p\u00fablicas, permite el acceso RDP solo mediante un canal VPN y usa contrase\u00f1as seguras y \u00fanicas y la autenticaci\u00f3n en dos pasos;<\/li>\n<li>actualices el <em>software<\/em> cr\u00edtico de manera oportuna, poniendo \u00e9nfasis en el sistema operativo, las soluciones de seguridad, los clientes de VPN y las herramientas de acceso remoto;<\/li>\n<li>formes a tus empleados en materia de seguridad, por ejemplo, usando <a href=\"https:\/\/k-asap.com\/es\/?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">herramientas online especializadas<\/a>;<\/li>\n<li>emplees <a href=\"https:\/\/latam.kaspersky.com\/enterprise-security\/anti-targeted-attack-platform?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad avanzadas<\/a> para proteger los dispositivos de trabajo y el per\u00edmetro de la red corporativa.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>El nuevo malware CryWiper corrompe los archivos de manera irreversible al hacerse pasar por ransomware.<\/p>\n","protected":false},"author":2698,"featured_media":25607,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[5840,472,725],"class_list":{"0":"post-25606","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-borrador","11":"tag-ransomware","12":"tag-wiper"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/25606\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/crywiper-pseudo-ransomware\/24949\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/20445\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/10308\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/27509\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/crywiper-pseudo-ransomware\/25279\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/crywiper-pseudo-ransomware\/28163\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/crywiper-pseudo-ransomware\/27429\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/crywiper-pseudo-ransomware\/34325\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/46480\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/crywiper-pseudo-ransomware\/19837\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/crywiper-pseudo-ransomware\/20458\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/crywiper-pseudo-ransomware\/29580\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/crywiper-pseudo-ransomware\/32984\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/crywiper-pseudo-ransomware\/28796\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/crywiper-pseudo-ransomware\/25637\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/crywiper-pseudo-ransomware\/31326\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/crywiper-pseudo-ransomware\/31035\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25606","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=25606"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25606\/revisions"}],"predecessor-version":[{"id":25608,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/25606\/revisions\/25608"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/25607"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=25606"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=25606"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=25606"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}