{"id":7028,"date":"2016-04-26T07:41:49","date_gmt":"2016-04-26T07:41:49","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=7028"},"modified":"2019-11-22T03:00:06","modified_gmt":"2019-11-22T09:00:06","slug":"cryptxxx-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/cryptxxx-ransomware\/7028\/","title":{"rendered":"C\u00f3mo descifrar el ransomware CryptXXX"},"content":{"rendered":"<p>La experiencia habitual de un usuario con <em>ransomware <\/em>es esta: abres una p\u00e1gina web y, accidentalmente, descargas e instalas un <em>software<\/em>. Puede que ni te des cuenta de haberlo hecho. Puede que no pase nada durante un tiempo, hasta que ves una notificaci\u00f3n dici\u00e9ndote que todos tus archivos han sido cifrados por un troyano que pide un rescate a cambio de estos. Compruebas la veracidad de este mensaje y te das cuenta de que no puedes abrir ninguno de tus archivos. Tambi\u00e9n ves que est\u00e1n actualizados con la siniestra extensi\u00f3n .crypt.<\/p>\n<p><strong><\/strong><\/p>\n<p>Si te encuentras en esta situaci\u00f3n, parece que tu sistema ha sido infectado con un <em>ransomware <\/em>CryptXXX. Es un troyano muy malo que cifra los archivos <strong>y <\/strong>roba tus datos personales <strong>y <\/strong>bitcoins. Pero tenemos una buena noticia: existe una herramienta gratuita que puede curar tu sistema de esta infecci\u00f3n.<\/p>\n<h3><strong>Qu\u00e9 es CryptXXX<\/strong><\/h3>\n<p><strong>\u00a0<\/strong>Si est\u00e1s buscando el manual de descifrado de archivos, puedes saltarte esta parte, la informaci\u00f3n que buscas est\u00e1 m\u00e1s abajo. A continuaci\u00f3n, cubriremos varios factores sobre el troyano.<\/p>\n<p>En abril, 15 investigadores de Proofpoint <a href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler\" target=\"_blank\" rel=\"noopener nofollow\">descubrieron<\/a> un nuevo <em>ransomware<\/em> que utilizaba el <a href=\"https:\/\/latam.kaspersky.com\/blog\/exploits-problem-explanation\/6520\/\" target=\"_blank\" rel=\"noopener\">kit de <em>exploit<\/em><\/a> de Angler para infectar dispositivos Windows. Ya que los cibercriminales no le hab\u00edan dado ning\u00fan nombre a su creaci\u00f3n, los investigadores la llamaron CryptXXX. Es posible que hayan elegido ese nombre porque el troyano tiene el desagradable h\u00e1bito de a\u00f1adir la extensi\u00f3n .crypt a los nombres de todos los archivos infectados y XXX\u00a0es el segundo nombre de Anglers.<\/p>\n<p>CyptXXX es la muestra de un interesante <em>ransomware<\/em>. Este cifra los archivos en todo el almacenamiento de datos adjunto un tiempo despu\u00e9s de que la PC haya sido infectado. Los criminales utilizan este intervalo para confundir a las v\u00edctimas y hacer m\u00e1s dif\u00edcil la detecci\u00f3n de las p\u00e1ginas web que difunden el <em>malware<\/em>.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">10 tips to protect your files from ransomware <a href=\"https:\/\/t.co\/o0IpUU9CHb\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/o0IpUU9CHb<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/iteducation?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#iteducation<\/a> <a href=\"https:\/\/t.co\/I47sPIiWFF\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/I47sPIiWFF<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/671348678607642624?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">November 30, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<div id=\"main\">\n<section id=\"primary\">\n<div id=\"content\">\n<div>\n<article id=\"post-8189\" class=\"post-8189 post type-post status-publish format-standard has-post-thumbnail hentry category-featured-post category-malware category-news category-security tag-amenazas tag-cryptolockers tag-cryptxxx tag-descifrador-de-ransomware tag-proteccion-de-datos tag-ransomware tag-seguridad tag-troyanos\">Al terminar el cifrado, el troyano crea tres manuales: un archivo de texto, una imagen y una p\u00e1gina web HTML. La imagen se configura como fondo de pantalla (tal vez para dejarlo m\u00e1s claro). La p\u00e1gina web se abre en el navegador mientras el archivo de texto se queda en el disco duro, por si acaso. Todos los manuales contienen un texto similar.\n<div class=\"entry-content\">\n<div>\n<p>Estos les informa a las v\u00edctimas que sus archivos est\u00e1n cifrados con la ayuda de RSA4096, un algoritmo de cifrado m\u00e1s fuerte, y demandan un rescate en bitcoins para poder recuperar los datos. El usuario tiene que instalar el navegador de Tor y seguir el enlace del manual para abrir la p\u00e1gina web de onion, que incluye la forma de pago y las instrucciones detalladas. Incluso cuenta con una p\u00e1gina de preguntas frecuentas, \u00a1todo para facilitar su uso!<\/p>\n<p>CryptXXX tambi\u00e9n es muy curioso y codicioso: no solo cifra los archivos, sino que tambi\u00e9n roba los bitcoins guardados en los discos duros de las v\u00edctimas y copia otros datos que pueden ser \u00fatiles para los criminales.<\/p>\n<h3><strong>\u00a1Es horrible pero tenemos la cura!<\/strong><\/h3>\n<p>Suele ser muy dif\u00edcil encontrar un algoritmo de descifrado universal para un <em>ransomware<\/em> moderno. Por eso, normalmente lo \u00fanico que la v\u00edctima puede hacer es pagar el rescate<em>.<\/em> Pero no recomendamos hacerlo a menos que sea el \u00faltimo recurso.<\/p>\n<p>Afortunadamente, CryptXXX no result\u00f3 ser tan dif\u00edcil de descifrar. Los expertos de Kaspersky Lab crearon una herramienta que puede ayudar a los usuarios a recuperar los archivos cifrados.<\/p>\n<\/div>\n<\/div>\n<\/article>\n<\/div>\n<\/div>\n<\/section>\n<\/div>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Alert?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Alert<\/a> We've got a <a href=\"https:\/\/twitter.com\/hashtag\/decryptor?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#decryptor<\/a> for those infected with <a href=\"https:\/\/twitter.com\/hashtag\/CryptXXX?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#CryptXXX<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/Ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Ransomware<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"https:\/\/t.co\/MTtTKQom79\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/MTtTKQom79<\/a> <a href=\"https:\/\/t.co\/N56Wof2BZY\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/N56Wof2BZY<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/724652181580853249?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 25, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La herramienta <a href=\"http:\/\/support.kaspersky.com\/mx\/viruses\/disinfection\/8547\" target=\"_blank\" rel=\"noopener\">RannohDecryptor<\/a> fue inicialmente creada para descifrar archivos que sufrieran la infecci\u00f3n del <em>ransomware <\/em>Rannoh. Con el tiempo, esta adquiri\u00f3 funciones adicionales y \u00fatiles. Ahora se puede utilizar para curar archivos infectados por CryptXXX.<\/p>\n<p>Por lo tanto, si el <em>ransomware <\/em>CryptXXX logra entrar en tu sistema, no todo est\u00e1 perdido. Para recuperar tus archivos necesitaremos la versi\u00f3n original (no cifrada) de al menos un archivo que haya sido v\u00edctima de CryptXXX. Si tienes la copia de seguridad de m\u00e1s archivos como este, tambi\u00e9n funcionar\u00e1.<\/p>\n<p>Despu\u00e9s debes hacer lo siguiente:<\/p>\n<p>1.\u00a0<a href=\"http:\/\/media.kaspersky.com\/utilities\/VirusUtilities\/RU\/rannohdecryptor.exe\" target=\"_blank\" rel=\"noopener nofollow\">Descarga<\/a> la herramienta y \u00e1brela.<\/p>\n<p>2. Abre las opciones de configuraci\u00f3n y elige los tipos de disco (extra\u00edble, de red o disco duro) para el escaneo. No selecciones la opci\u00f3n de \u201cEliminar archivos cifrados despu\u00e9s de descifrar\u201d hasta que est\u00e9s 100 % seguro de que los archivos descifrados se abren correctamente.<\/p>\n<p><img decoding=\"async\" class=\"alignnone\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/87\/2016\/04\/05195306\/cryptxxx-screenshot-1.png\" width=\"489\" height=\"444\"><\/p>\n<p>3. Haz click en el enlace de \u201cEmpezar escaneo\u201d y elige d\u00f3nde se encuentran los archivos .crypt (ese archivo del cual tambi\u00e9n tienes una copia descifrada).<\/p>\n<p>4. Despu\u00e9s, la herramienta te pedir\u00e1 el archivo original.<\/p>\n<p>5. Despu\u00e9s, RannohDecryptor comenzar\u00e1 a buscar todos los archivos con la extensi\u00f3n \u201c.crypt\u201d e intentar\u00e1 descifrarlos, estos pesar\u00e1n menos que los originales. Cuanto m\u00e1s grande sea el archivo que introduzcas a la herramienta, m\u00e1s archivos descifrar\u00e1.<\/p>\n<h3><strong>\u00a1Prep\u00e1rate con antelaci\u00f3n!<\/strong><\/h3>\n<p>Es mejor no probar suerte y evitar que tu ocomputadora se infecte con CryptXXX. Nuestra herramienta de descifrado funciona, pero pronto los criminales podr\u00edan lanzar una nueva versi\u00f3n del mismo<em> ransomware<\/em>, m\u00e1s inteligente. Los criminales suelen cambiar el c\u00f3digo <em>malware<\/em> de forma que sea imposible descifrar los archivos infectados. Por ejemplo, esto es lo que pas\u00f3 con el <em>ransomware<\/em> de <a href=\"https:\/\/latam.kaspersky.com\/blog\/teslacrypt-strikes-again\/7374\/\" target=\"_blank\" rel=\"noopener\">TeslaCrypt<\/a>: \u00e9rase una vez una herramienta de utilidad que curaba con \u00e9xito los archivos cifrados, pero ahora es pr\u00e1cticamente in\u00fatil.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/TeslaCrypt?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#TeslaCrypt<\/a>: Round Three \u2013 <a href=\"https:\/\/t.co\/LAPH359dZp\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/LAPH359dZp<\/a>  <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> <a href=\"https:\/\/t.co\/6m1MdgfmSz\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/6m1MdgfmSz<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/676774484158881792?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">December 15, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Recordemos tambi\u00e9n que CryptXXX roba datos personales y dinero: compartirlos con los criminales seguramente sea una mala idea.<\/p>\n<p>Para protegerte sigue estas reglas de ciberseguridad.<\/p>\n<ol>\n<li>Haz copias de seguridad peri\u00f3dicamente.<\/li>\n<\/ol>\n<ol start=\"2\">\n<li>Instala todas las actualizaciones importantes de tu sistema operativo y tus navegadores. El kit de <em>exploit <\/em>de Angler, utilizado por CryptXXX, aprovecha las vulnerabilidades del <em>software<\/em> para descargar e instalar el <em>ransomware.<\/em><\/li>\n<\/ol>\n<ol start=\"3\">\n<li>Instala una soluci\u00f3n de seguridad apropiada. <a href=\"https:\/\/kas.pr\/KIS16LAT\" target=\"_blank\" rel=\"noopener\">Kaspersky Internet Security<\/a> ofrece una protecci\u00f3n multicapa contra el <em>ransomware<\/em>. <a href=\"https:\/\/kas.pr\/KTS16LAT\" target=\"_blank\" rel=\"noopener\">Kaspersky Total Security<\/a> puede complementar la protecci\u00f3n con copias de seguridad autom\u00e1ticas.<\/li>\n<\/ol>\n<p><a href=\"https:\/\/latam.kaspersky.com\/blog\/ransomware-10-tips\/7298\/\" target=\"_blank\" rel=\"noopener\">Aqu\u00ed<\/a> podr\u00e1s encontrar m\u00e1s informaci\u00f3n sobre c\u00f3mo protegerte contra el <em>ransomware.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El ransomwareCryptXXX cifra los archivos y roba datos y bitcoins. \u00a1Suena peligroso, \u00a1pero tenemos la soluci\u00f3n!<\/p>\n","protected":false},"author":696,"featured_media":7029,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,6,2737],"tags":[638,2504,2505,2473,2028,472,38,1262],"class_list":{"0":"post-7028","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-privacy","10":"tag-amenazas","11":"tag-cryptolockers","12":"tag-cryptxxx","13":"tag-descifrador-de-ransomware","14":"tag-proteccion-de-datos","15":"tag-ransomware","16":"tag-seguridad","17":"tag-troyanos"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cryptxxx-ransomware\/7028\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cryptxxx-ransomware\/7070\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cryptxxx-ransomware\/7102\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cryptxxx-ransomware\/8189\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cryptxxx-ransomware\/8066\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cryptxxx-ransomware\/11736\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cryptxxx-ransomware\/2047\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cryptxxx-ransomware\/11939\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cryptxxx-ransomware\/5568\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cryptxxx-ransomware\/6204\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cryptxxx-ransomware\/7513\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cryptxxx-ransomware\/11181\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cryptxxx-ransomware\/11736\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cryptxxx-ransomware\/11939\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cryptxxx-ransomware\/11939\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/amenazas\/","name":"amenazas"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/696"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=7028"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7028\/revisions"}],"predecessor-version":[{"id":16074,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/7028\/revisions\/16074"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/7029"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=7028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=7028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=7028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}