Zcryptor: el gusano conquistador

Zcryptor es un híbrido de ransomware y gusano: cifra los archivos y se copia en un dispositivo externo.

Los analistas y los investigadores están de acuerdo en que el 2016 es un buen año para el ransomware. Los ciberdelincuentes han tenido tiempo suficiente para ver el potencial de los cryptolockers y han incluido con gusto el ransomware entre su arsenal. Para darte una idea de su rentabilidad, los investigadores de Cisco informan de que un único kit de exploit Angler es capaz de aportar ganancias a los ciberdelincuentes de hasta 60,000 dólares al año, ¡5,000 dólares al mes!

Los sospechosos en el moderno mercado de los ransomware, Petya y su amigo Mischa, al igual que sus pariente lejano, Locky, asedian a personas de más de 100 países. Hace poco, los hackers empezaron a centrar más su atención en empresas y organizaciones con datos valiosos: últimamente ha habido varios hospitales estadounidenses víctimas de ataques de ransomware.

El alza de los gusanos cifradores

En su intento de conseguir mucho dinero en el menor tiempo posible, los ciberdelincuentes buscan formas de aumentar sus ataques para propagar aún más los virus de tipo locker. Las campañas maliciosas de spam continúan funcionando, pero ya no son tan efectivas como antes porque las ciberamenzas aparecen en las noticias y, en consecuencia, los usuarios se informan de los trucos que se usan con más frecuencia.

Otro desarrollo importante es que los navegadores web y los antivirus han aprendido a detectar y a bloquear las URL maliciosas o el malware enlazado a spam. Como respuesta, los hackers van eliminando sus ataques “de efecto retardado” para la distribución del malware y, con más frecuencia se pasan a métodos que se utilizaban antes en las campañas más extendidas y eficientes: los antiguos gusanos.

Los investigadores predicen que la próxima etapa del desarrollo de malware nos traerá los gusanos cifradores, un híbrido tóxico que autopropaga malware y ransomware. Este nuevo tipo de malware utiliza lo mejor de ambos mundos: los nuevos tipos de ransomware podrán copiarse y distribuirse por sí mismos mediante computadoras infectadas para cifrar los archivos y pedir un rescate.

El primero de este fue SamSam, el cual llegó a las redes de varias empresas e infectó las computadoras de sus redes y los almacenamientos en la nube que contenían las copias de seguridad.

ZCryptor

Esta semana, Microsoft detectó una nueva muestra de gusano cifrador apodado Zcryptor, único en su especie porque cifra los archivos y se autopropaga hacia otras computadoras y dispositivos en redes sin utilizar el malicioso spam ni tampoco un kit de exploit. El malware se copia a sí mismo a las computadoras conectadas y a los dispositivos portátiles.

Para infectar a la primera víctima, Zcyptor utiliza las técnicas habituales: finge ser el instalador de algún programa popular (como Adobe Flash) o se infiltra en el sistema a través de las macros de algún archivo de Microsoft Office.

https://twitter.com/campuscodi/status/736148705120751616

Una vez dentro del sistema, el gusano cifrador infecta los dispositivos extraíbles y las memorias USB para poder infectar otras computadoras; después de esto, empieza con el cifrado de los archivos. Zcryptor es capaz de cifrar más de 80 formatos de archivo (hay fuentes que hablan de hasta 120 formatos) añadiendo la extensión .zcrypt al nombre del archivo.

Tras ello, la historia evoluciona hacia una situación ya conocida: el usuario ve una página HTML que le informa de que los archivos han sido cifrados y que para recuperarlos debe pagar 1.2 bitcoins (12,000 pesos/mxn). Si los culpables no reciben el dinero en el período de cuatro días, la cifra aumenta a 5 bitcoins (más de 40,000 pesos/mxn).

Por desgracia, los expertos no han podido encontrar el modo de descifrar los archivos para evitar que los usuarios paguen por el rescate, lo que significa que la única opción que nos queda es ser muy precavidos.

Medios de protección

  • Actualiza tu sistema operativo y el software a menudo para cerrar vulnerabilidades y así prevenir que el gusano cifrador viaje a través de tu red.
  • Sé siempre precavido y evita las webs sospechosas; no abras los archivos adjuntos que provengan de fuentes poco fiables. En general, respeta las reglas básicas de la higiene digital.
  • Desactiva las macros en Microsoft Word; se están volviendo a convertir en un método popular para ocultar el malware.
  • Haz copias de seguridad a menudo y guarda una copia en un dispositivo externo desconectado de tu PC. Aunque esto no previene la infección, si tienes a mano tus preciados datos, no tendrás que pagar el rescate.
  • También, utiliza un buen software de protección. Kaspersky Internet Security detecta el Zcryptor con el nombre de Trojan-Ransom.MSIL.Geograph y es capaz de proteger a nuestros usuarios de él.
Consejos