{"id":28163,"date":"2022-12-11T13:42:30","date_gmt":"2022-12-11T11:42:30","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28163"},"modified":"2022-12-11T13:42:30","modified_gmt":"2022-12-11T11:42:30","slug":"crywiper-pseudo-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/crywiper-pseudo-ransomware\/28163\/","title":{"rendered":"CryWiper: el falso ransomware"},"content":{"rendered":"<p>Nuestros expertos han descubierto el ataque de un nuevo troyano, al que han denominado CryWiper. A simple vista, este <em>malware<\/em>, que parece un <em>ransomware<\/em>, modifica los archivos, les a\u00f1ade una extensi\u00f3n adicional y guarda un archivo llamado README.txt con una nota de rescate, que contiene la direcci\u00f3n del monedero de bitcoin, la direcci\u00f3n de correo electr\u00f3nico de contacto de los creadores del <em>malware<\/em> y el ID de la infecci\u00f3n. Sin embargo, lo cierto es que este <em>malware<\/em> es un <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/wiper\/\" target=\"_blank\" rel=\"noopener\"><em>wiper<\/em><\/a> (borrador), de hecho, un archivo modificado por CryWiper no se puede restaurar a su estado original, nunca. Entonces, si ves una nota de rescate y tus archivos tienen la nueva extensi\u00f3n .CRY, no te apresures a pagar el rescate: es in\u00fatil.<\/p>\n<p>Ya hemos visto en otras ocasiones cepas de <em>malware<\/em> que acabaron convirti\u00e9ndose en borradores por accidente, debido a errores de sus creadores que implementaron mal los algoritmos de cifrado. Sin embargo, esta vez no es el caso: nuestros expertos est\u00e1n seguros de que el objetivo principal de los atacantes no es la ganancia econ\u00f3mica, sino la destrucci\u00f3n de datos. Los archivos no quedan realmente cifrados; en su lugar, el troyano los sobrescribe con datos generados de forma pseudoaleatoria.<\/p>\n<h2>Qu\u00e9 busca CryWiper<\/h2>\n<p>El troyano corrompe cualquier dato que no sea vital para el funcionamiento del sistema operativo. No perjudica a archivos con extensiones .exe, .dll. .lnk, .sys o .msi e ignora varias carpetas del sistema en el directorio C:\\Windows. El <em>malware<\/em> se centra en bases de datos, archivos y documentos de usuario.<\/p>\n<p>Hasta ahora, nuestros expertos solo han visto ataques puntuales contra objetivos de la Federaci\u00f3n Rusa. Sin embargo, como de costumbre, nadie puede garantizar que este mismo c\u00f3digo no se utilice contra otros objetivos.<\/p>\n<h2>C\u00f3mo funciona el troyano CryWiper<\/h2>\n<p>Adem\u00e1s de sobrescribir directamente el contenido de los archivos con basura, CryWiper tambi\u00e9n:<\/p>\n<ul>\n<li>crea una tarea que reinicia el <em>wiper<\/em> cada cinco minutos usando el Programador de tareas;<\/li>\n<li>env\u00eda el nombre del ordenador infectado al servidor de mando y control y espera un comando para iniciar un ataque;<\/li>\n<li>detiene los procesos relacionados con: servidores de bases de datos MySQL y MS SQL, servidores de correo MS Exchange y servicios web de MS Active Directory (de lo contrario, se bloquear\u00eda el acceso a algunos archivos y ser\u00eda imposible corromperlos);<\/li>\n<li>elimina las instant\u00e1neas (<em>shadow copies<\/em> en ingl\u00e9s) de los archivos para que no se puedan restaurar (pero por alguna raz\u00f3n solo en la unidad C:);<\/li>\n<li>desactiva la conexi\u00f3n al sistema afectado a trav\u00e9s del protocolo de acceso remoto RDP.<\/li>\n<\/ul>\n<p>El prop\u00f3sito de este \u00faltimo punto no est\u00e1 del todo claro. Tal vez con esta desactivaci\u00f3n, los autores del <em>malware<\/em> intentan complicar el trabajo del equipo de respuesta a incidentes, que claramente preferir\u00eda tener acceso remoto al equipo afectado; en su lugar, tendr\u00edan que obtener acceso f\u00edsico. Para m\u00e1s informaci\u00f3n t\u00e9cnica sobre el ataque junto con sus indicadores de compromiso, visita <a href=\"https:\/\/securelist.ru\/novyj-troyanec-crywiper\/106114\/\" target=\"_blank\" rel=\"noopener\">nuestra publicaci\u00f3n en Securelist<\/a> (solo en ruso).<\/p>\n<h2>C\u00f3mo mantenerse a salvo<\/h2>\n<p>Para proteger los equipos de tu empresa tanto del <em>ransomware<\/em> como de los <em>wiper<\/em>, nuestros expertos recomiendan que:<\/p>\n<ul>\n<li>controles minuciosamente las conexiones de acceso remoto a tu infraestructura: proh\u00edbe las conexiones desde redes p\u00fablicas, permite el acceso RDP solo a trav\u00e9s de un canal VPN y usa contrase\u00f1as seguras y \u00fanicas y la autenticaci\u00f3n en dos pasos;<\/li>\n<li>actualices el <em>software<\/em> cr\u00edtico de manera oportuna, prestando especial atenci\u00f3n al sistema operativo, las soluciones de seguridad, los clientes de VPN y las herramientas de acceso remoto;<\/li>\n<li>formes a tus empleados en materia de seguridad, por ejemplo, utilizando <a href=\"https:\/\/k-asap.com\/es\/?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">herramientas online especializadas<\/a>;<\/li>\n<li>emplees <a href=\"https:\/\/www.kaspersky.es\/enterprise-security\/anti-targeted-attack-platform?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad avanzadas<\/a> para proteger tanto los dispositivos de trabajo como el per\u00edmetro de la red corporativa.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El nuevo malware CryWiper corrompe de forma irreversible los archivos haci\u00e9ndose pasar por ransomware.<\/p>\n","protected":false},"author":2698,"featured_media":28164,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[2963,401,644],"class_list":{"0":"post-28163","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-borrador","10":"tag-ransomware","11":"tag-wiper"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/crywiper-pseudo-ransomware\/28163\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/crywiper-pseudo-ransomware\/24949\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/20445\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/10308\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/27509\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/crywiper-pseudo-ransomware\/25279\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/25606\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/crywiper-pseudo-ransomware\/27429\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/crywiper-pseudo-ransomware\/34325\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/crywiper-pseudo-ransomware\/46480\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/crywiper-pseudo-ransomware\/19837\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/crywiper-pseudo-ransomware\/20458\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/crywiper-pseudo-ransomware\/29580\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/crywiper-pseudo-ransomware\/32984\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/crywiper-pseudo-ransomware\/28796\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/crywiper-pseudo-ransomware\/25637\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/crywiper-pseudo-ransomware\/31326\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/crywiper-pseudo-ransomware\/31035\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28163","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=28163"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28163\/revisions"}],"predecessor-version":[{"id":28166,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/28163\/revisions\/28166"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/28164"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=28163"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=28163"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=28163"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}