Fueron muchos los que predijeron que 2016 sería el año de la extorsión para las PyMes y las grandes empresas. No se equivocaron. Este año, en todos los informes de ciberseguridad, se puede ver como los virus del tipo ransom han tenido un especial protagonismo.
Para cualquier empresa, un ciberataque es un problema serio que puede tener consecuencias catastróficas. Las grandes empresas tienen equipos técnicos preparados para solventar el problema lo antes posible y, sino, al menos para buscar una solución alternativa que les permita continuar trabajando mientras lo solucionan. Sin embargo, las PyMes no cuentan este tipo de equipos, de hecho, las pequeñas empresas que cuentan con uno o dos informáticos en plantilla no pueden prescindir de ellos. Esto significa que no pueden permitirse poner a su único informático a buscar una solución – desatendiendo sus labores de mantenimiento diarias – y, generalmente, tampoco están preparados para este tipo de ataques.
La ciberseguridad es algo que está muy presente en las grandes empresas, pero no tanto en las medianas y es casi un mito para las más pequeñas. Muchas microPyMes o empresas pequeñas se conforman con tener un antivirus y, con eso, creen estar protegidas ante virus como el CRYSIS.
CRYSIS es un virus tipo ransom que, como todos los virus de este tipo, secuestra los archivos de las computadoras y obliga a los usuarios a pagar para poder recuperarlos. Este, en concreto, es una variante del ya conocido CRYPTESLA, cuyo creador decidió enviar a las autoridades la clave maestra para desencriptar los archivos, concluyendo así con su extorsión. Sin embargo, otros ciberdelincuentes decidieron basarse en CRYPTESLA para desarrollar ransomwares más complejos, como CRYSIS, que genera claves de encriptación individuales para cada computadora secuestrada.
CRYSYS es capaz de encriptar archivos en unidades diferentes, así como en dispositivos externos y en unidades de red. Esto lo hace mediante tres tipos de cifrado diferente como: AES, claves RSA y algo conocido como CBC.
¿Cómo se distribuye este virus en una web?
Este tipo de virus utiliza las campañas de correo electrónico que contienen archivos maliciosos con extensiones a archivos enmascarados. Es decir, los archivos pueden parecer documentos de Microsoft Office (Word, Excel o Power Point), archivos PDF, configuraciones de diferentes programas u otro tipo de programas o archivos auténticos. Además, pueden archivarse en una extensión tipo .RAR o .ZIP para evitar su detección por parte de los proveedores de servicios de correo electrónico.
CRYSIS, además, envía también un correo electrónico donde los usuarios pueden ponerse en contacto con los ciberdelincuentes para realizar el pago del rescate.
Tipos de ransomware CRYSIS y los archivos a los que afecta
Al parecer, hay varias versiones de CRYSIS que pueden identificarse por el método de decodificación de los archivos o en función del tipo de archivo XTBL que sea:
{cyber-criminal`s email}.ext
{UNIQUE ID}.{cyber-criminal`s email}.ext
{UNIQUE ID}.{cyber-criminal`s email}.xtbl
{cyber-criminal`s email}.xtbl
Una vez los archivos maliciosos han sido ejecutados en la computadora – quedando los mismos de la siguiente manera: ID<…>.<mail>@<server>.<domain>.xtbl o ID<…>.<mail>@<server>.<domain>.CrySis -, CRYSIS busca alrededor de 190 tipos de archivo diferentes para codificarlos. Según expertos de Fileinfo estas son las extensiones de archivo más afectadas por este ransomware:
«PNG .PSD .PSD .PSD .TPS .THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL. APK .APP .BAT .CGI .COM .EXE .GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV Archivos CAD .DWG .DXF Archivos GIS .GPX .KML .KMZ .ASP .ASPX .CER. CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS .XHTML. DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF Archivos codificados .HQX .MIM .UUE .7Z .CG. .GZ .PGG .RAR .RPM .SITX .TAR.GZ .ZIP .ZIPX .BIN .CUE .DMG .ISO .MDF .TOAST .VCD SDF .TAR .TAX2014 .TAX2015 .VCF .XML Audio Archivos .AIF .IFF .M3U .M4A .MIM .MP3 .MPA .WAV .WMA Archivos de vídeo .3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG ..CRX .PLUGIN .FNT .FON .OTF .TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV .ICNS .ICO .LNK .SYS .CFG «
Sin embargo, CRYSIS no solo afecta a los archivos de la computadora, sino que también puede buscar unidades extraíbles como USB, tarjetas de memoria, discos duros externos, SSDs externos y otros.
Tipos de cifrado de CRYSIS
- AES-256 (Advanced Encryption Standard): se trata de un algoritmo de tipo Suite.B que cifra los archivos de forma directa y ha sido utilizado por la NSA. Incluso utilizando una máquina muy potente, su desodificación puede llevar años.
- RSA: estas claves tienen prácticamente la misma «fuerza» que el AES, aunque dependerá de la cantidad de bits. Sin embargo, su particularidad, es que se utilizan para codificar la clave de desencriptación, la que se genera después de codificar los archivos y que sirve para recuperarlos.
- Modo CBC (Cipher Block Chaining): es especialmente eficaz cuando se utiliza combinado con cifrado AES y, también, es la razón principal por la que la descodificación directa es mucho más compleja. Este tipo de cifrado utiliza modos conocidos como IV o Vector de Inicialización y un mecanismo de encadenamiento para codificar texto cifrado que lo separa en bloques con un orden específico. Podemos decir que el Modo CBC es un «fail-safe» para ciberdelincuentes.
CRYSIS no solo infecta los archivos
CRYSIS no solo infecta archivos de una computadora o unidades extraíbles, sino que también es capaz de eliminar las copias de seguridad de estos con tan solo ejecutar el siguiente comando:
vssadmin eliminar sombras / para = {VOLUMEN DEL PC} / todo silencioso
Además, envía el nombre del equipo infectado, así como los archivos, al servidor de los ciberdelincuentes. Se debe señalar que este virus viene con un ladrón de información incorporado que recopila información confidencial – registros del Messenger, contraseñas, información sobre el software y otros datos del programa o registros e información de la cámara web – de la computadora infectada. En algunas versiones de Windows también inicia como un administrador y continúa aumentando la lista de archivos cifrados.
Los archivos de rescate, recompensa y correos electrónicos asociados
En el equipo infectado aparecen estos dos archivos con información relativa a las instrucciones que deben seguir los usuarios para rescatar su información:
Cómo descifrar sus archivos.txt
DECRYPT.jpg
La cifra que los ciberdelincuentes están pidiendo por la clave de desencriptación para CRYSIS oscila entre los 400 y los 2000 euros en BitCoins, parece que la cifra va aumentando conforme pasa más tiempo. Además, adjuntan instrucciones para que los usuarios puedan hacer el cambio de «divisas» y una dirección de correo electrónico a la que enviarlas. Algunas de estas direcciones han sido recogidas por el blog ID Ransomware y os las dejamos a continuación:
- Eco_vector@india.com
- sub_zero12@aol.com
- gerkaman@aol.com
- freetibet@india.com
- cyber_baba2@aol.com
- siddhiup2@india.com
- gruzinrussian@aol.com
- ramachandra7@india.com
- goldman0@india.com
- centurion_legion@aol.com
- dalailama2015@protonmail.ch
- Vegclass@aol.com
- a_princ@aol.com
- TREE_OF_LIFE@INDIA.COM
- redshitline@india.com
- milarepa.lotos@aol.com
- Ecovector3@aol.com
- Eco_vector@aol.com
Rakhni, la solución gratuita de Kaspersky para desencriptar todos los archivos secuestrados de este tipo
La solución para desencriptar los archivos que CRYSIS, previamente, ha codificado se llama RakhniDecryptor. Es una aplicación gratuita que ha presentado la compañía de antivirus Kaspersky y que da solución a las computadoras afectadas por este tipo de ransomware.
Rakhni es sencillo de instalar, solo hay que descargar el archivo .zip que que te dejamos a continuación, descomprimirlo y ejecutar el archivo RakhniDecryptor.exe en la computadora infectada.
A continuación, sigue las instrucciones de Kaspersky que aparecen en su página de soporte en el apartado «Cómo usar la herramienta» y en unos minutos podrás recuperar todos tus archivos.
