Zcryptor: el gusano conquistador

Los analistas y los investigadores están de acuerdo en que el 2016 es un buen año para el ransomware. Los ciberdelincuentes han tenido tiempo suficiente para ver el potencial de los cryptolockers y han incluido con gusto el ransomware entre su arsenal. Para darte una idea de su rentabilidad, los investigadores de Cisco informan de que un único kit de exploit Angler es capaz de aportar ganancias a los ciberdelincuentes de hasta 60.000 dolares al año, ¡5.000 dolares al mes!

Los sospechosos en el moderno mercado de los ransomware, Petya y su amigo Mischa, al igual que sus pariente lejano, Locky, asedian a personas de más de 100 países. Hace poco, los hackers han empezado a centrar más su atención en empresas y organizaciones con datos valiosos: últimamente ha habido varios hospitales estadounidenses que han sido víctimas de ataques de ransomware.

El alza de los criptogusanos

En su intento de conseguir mucho dinero en el menor tiempo posible, los ciberdelincuentes buscan formas de aumentar sus ataques para propagar aún más los virus de tipo locker. Las campañas maliciosas de spam continúan funcionando, pero ya no son tan efectivas como antes porque las ciberamenazas aparecen en las noticias y, en consecuencia, los usuarios se informan de los trucos que se usan con más frecuencia.

Otro desarrollo importante es que los navegadores web y los antivirus han aprendido a detectar y a bloquear las URL maliciosas o el malware enlazado a spam. Como respuesta, los hackers van eliminando sus ataques “de efecto retardado” para la distribución del malware y, con más frecuencia, se pasan a métodos que se utilizaban antes en las campañas más extendidas y eficientes: los antiguos gusanos.

Meet the #cryptoworm… the future of #ransomware via @zpring @threatpost https://t.co/zndtXFulGB pic.twitter.com/BYRjQG8X7j

— Kaspersky Lab (@kaspersky) April 12, 2016

Los investigadores predicen que la próxima etapa del desarrollo de malware nos traerá los criptogusanos, un híbrido tóxico que autopropaga malware y ransomware. Este nuevo tipo de malware coge lo mejor de ambos mundos: los nuevos tipos de ransomware podrán copiarse y distribuirse por sí mismos mediante ordenadores infectados para cifrar los archivos y pedir un rescate.

El primero de este fue SamSam, el cual llegó a las redes de varias empresas e infectó los ordenadores de sus redes y los almacenamientos en la nube que contenían las copias de seguridad.

ZCryptor

Esta semana, Microsoft detectó una nueva muestra de criptogusano apodado Zcryptor, único en su especie porque cifra los archivos y se autopropaga hacia otros ordenadores y dispositivos en redes sin utilizar el malicioso spam ni tampoco un kit de exploit. El malware se copia a sí mismo a los ordenadores conectados y a los dispositivos portátiles.

Para infectar a la primera víctima, Zcyptor utiliza las técnicas habituales: finge ser el instalador de algún programa popular (como Adobe Flash) o se infiltra en el sistema a través de las macros de algún archivo de Microsoft Office.

#Microsoft Warns of ZCryptor #Ransomware with Self-Propagation Features https://t.co/Iuwsv8hxxl #malware pic.twitter.com/QBSMGxtSgg

— Catalin C. (@campuscodi) May 27, 2016

Una vez dentro del sistema, el criptogusano infecta los dispositivos extraíbles y las memorias USB para poder infectar otros ordenadores; tras ello, empieza con el cifrado de los archivos. Zcryptor es capaz de cifrar más de 80 formatos de archivo (hay fuentes que hablan de hasta 120 formatos) añadiendo la extensión .zcrypt al nombre del archivo.

Tras ello, la historia evoluciona hacia una situación ya conocida: el usuario ve una página HTML que le informa de que los archivos han sido cifrados y que para recuperarlos debe pagar 1,2 bitcoins (unos 580 €). Si los culpables no reciben el dinero en el período de cuatro días, la cifra aumenta a 5 bitcoins (más de 2.200 €).

Por desgracia, los expertos no han podido encontrar el modo de descifrar los archivos para evitar que los usuarios paguen por el rescate, lo que significa que la única opción que nos queda es ser muy precavidos.

10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF

— Kaspersky Lab (@kaspersky) November 30, 2015

Medios de protección

• Actualiza tu sistema operativo y el software a menudo para cerrar vulnerabilidades y así prevenir que el criptogusano viaje a través de tu red.
• Sé siempre precavido y evita las webs sospechosas; no abras los archivos adjuntos que provengan de fuentes poco fiables. En general, respeta las reglas básicas de la higiene digital.
• Desactiva las macros en Microsoft Word; se están volviendo a convertir en un método popular para ocultar el malware.
• Haz copias de seguridad a menudo y guarda una copia en un dispositivo externo desconectado de tu PC. Aunque esto no previene la infección, si tienes a mano tus preciados datos, no tendrás que pagar el rescate.
• También, utiliza un buen software de protección. Kaspersky Internet Security detecta el Zcryptor con el nombre de Trojan-Ransom.MSIL.Geograph y es capaz de proteger a nuestros usuarios de él.