CryWiper, el falso ransomware
El nuevo malware CryWiper corrompe de forma irreversible los archivos haciéndose pasar por ransomware.
Kaspersky Lab ha ubicado un nuevo troyano al que ha denominado CryWiper. A simple vista, este malware, que parece un ransomware, modifica los archivos, les añade una extensión adicional y guarda un archivo llamado README.txt con una nota de rescate. Sin embargo, lo cierto es que este malware es un wiper (borrador), ya que un archivo modificado por CryWiper no se puede restaurar a su estado original. Esto es porque a diferencia de cuando un ransomware cifra los archivos, este troyano los sobrescribe con datos generados de forma pseudoaleatoria.
Entonces, si ve una nota de rescate y los archivos tienen la nueva extensión .CRY, no se apresure a pagar el rescate, es inútil.
Qué busca CryWiper
El troyano corrompe cualquier dato que no sea vital para el funcionamiento del sistema operativo. No perjudica a archivos con extensiones .exe, .dll, .lnk, .sys o .msi e ignora varias carpetas del sistema en el directorio C:\Windows. El malware se centra en bases de datos, archivos y documentos de usuario.
Cómo funciona
Además de sobrescribir el contenido de los archivos con basura, CryWiper también:
- Crea una tarea que reinicia el wiper cada cinco minutos usando el Programador de tareas.
- Envía el nombre del equipo infectado al servidor de mando y control, y espera un comando para iniciar un ataque.
- Detiene los procesos relacionados con servidores de bases de datos MySQL y MS SQL, servidores de correo MS Exchange y servicios web de MS Active Directory (de lo contrario, se bloquearía el acceso a algunos archivos y sería imposible corromperlos).
- Elimina las instantáneas (shadow copies) de los archivos para que no se puedan restaurar (pero por alguna razón solo en la unidad C).
- Desactiva la conexión al sistema afectado a través del protocolo de acceso remoto RDP.
El propósito de este último punto no está del todo claro. Tal vez con esta desactivación, los autores del malware intentan complicar el trabajo del equipo de respuesta a incidentes, que claramente preferiría tener acceso remoto al equipo afectado; en su lugar, tendrían que obtener acceso físico.
Cómo mantenerse a salvo
Para proteger los equipos tanto del ransomware como de los wiper, los expertos recomiendan:
- Controlar minuciosamente las conexiones de acceso remoto a la infraestructura, prohibir las conexiones desde redes públicas, permitir el acceso RDP solo a través de un canal VPN y usar contraseñas seguras y únicas, así como también la autenticación en dos pasos.
- Actualizar el software crítico de manera oportuna, prestando especial atención al sistema operativo, las soluciones de seguridad, los clientes de VPN y las herramientas de acceso remoto.
- Capacitar a los empleados en materia de seguridad, por ejemplo, utilizando herramientas online especializadas.
- Emplear soluciones de seguridad avanzadas para proteger tanto los dispositivos de trabajo como el perímetro de la red corporativa.
Le invitamos a ponerse en contacto con nosotros para proveerle información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y otras herramientas corporativas.
Fuente https://www.kaspersky.es/blog/crywiper-pseudo-ransomware/28163/