El ransomware CryptXXX muta una vez más, los desencriptadores no funcionan.




CryptXXX actualiza MO para evadir su fácil identificación



El ransomware CryptXXX sufrió una mutación durante la semana pasada después de que investigadores de seguridad de SentinelOne publicaron un informa sobre el grupo criminal detrás de esta amenaza, que revela que los ladrones están haciendo alrededor de 2.600 $ cada día de sus operaciones ilegales.




CryptXXX incluye cambios en el uso de nuevos nombres en las notas de rescate (readme.html, README.bmp, y Readme.txt), una nueva interfaz gráfica de usuario para el portal donde los usuarios puedan pagar el rescate, y el hecho de que los archivos cifrados con CryptXXX no muestran una extensión

En retrospectiva, para un profesional de infosec, todos estos cambios son fáciles de explicar.

Las víctimas infectadas con el ransomware normalmente buscan la extensión del archivo personalizado que es añadido al final de cada archivo con el fin de detectar con qué tipo de ransomware han sido infectados.

Sin ningún tipo de extensión personalizada que se añade al final de los archivos cifrados, los usuarios tendrán dificultades para identificar el nombre del ransomware. Adicionalmente, las notas de rescate también ayudan en el proceso de identificación.

CryptXXX hace que la identificación sea mucho más difícil

Para los creadores de CryptXXX, este cambio fue totalmente necesario ya que los investigadores de seguridad encontraban vulnerabilidades en las diferentes versiones de CryptXXX en el pasado.

Una víctima que puede identificar que han sido infectadas con CryptXXX está inclinada a esperar unas semanas hasta que los investigadores de seguridad liberen otro descifrador para CryptXXX que les permita recuperar sus archivos bloqueados sin tener que pagar el rescate.

Al hacer que el proceso de identificación sea mucho más difícil, los autores de CryptXXX están introduciendo un estado de confusión e incertidumbre en el proceso de identificación del ransomware que pueden dar lugar a más pagos de rescate ya que los usuarios no serán capaces de identificar la infección mediante la familia ransomware que ha sido considerada como " descodificable" como tantas veces ha ocurrido en el pasado.

El descifrador para CryptXXX no funciona (por el momento)

Además, de los cambios de interfaz de usuario el sitio de pago de un rescate de CryptXXX, ahora se marca como "Microsoft Decryptor", impidiendo la identificación visual en comparación con las capturas que en el pasado se ha hecho para el mismo ransomware.

En su afán de dar un lavado de cara a CryptXXX, los delincuentes han tenido tiempo para elaborar un descifrador adecuado, el software utilizado por los usuarios infectados pueden recuperar sus archivos después de pagar el rescate, según menciona Lawrence Adams, de Bleeping Computer.

Por otra parte, la función de soporte en tiempo real para CryptXXX, permite a las víctimas comunicarse con los delincuentes y obtener soporte en el pago del rescate y para descifrar sus archivos.

A pesar de una fuerte campaña de distribución, ¿CryptXXX estará en su última etapa?

Después de haberse descifrado su ransomware tantas veces, los codificadores del ransomware TeslaCrypt dejaron de utilizarlo y se trasladaron a una nueva familia ransomware por completo.

Al ver que CryptXXX adolece de muchos problemas de cifrado, no se sorprenda si el ransomware simplemente desaparece a medida que los ladrones probablemente se cansen de reparar constantemente los errores y opten por empezar desde cero.

Sin embargo, en este momento, están aprovechando al máximo su malware, con una campaña desenfrenada llamada Realstatistics, y mediante la cual han añadido capacidades de robo de contraseña para CryptXXX al comienzo de junio.




Fuente: Softpedia