Ransomware que cifra archivos creados desde el último inicio de Windows

Como ya hemos comentado en alguna ocasión, el ransomware es un tipo de programa malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado y pide un rescate a cambio de desbloquear esa restricción.

Hoy en día sigue siendo novedad puesto que sigue siendo una de las principales amenazas para nuestra información. Se ha descubierto un nuevo ransomware llamado CryptoRoger que es capaz de cifrar los archivos de sus víctimas mediante el cifrado AES, así como dejarlos inaccesibles para sus propietarios.

CryptoRoger también es capaz de crear un archivo .VBS en la carpeta de inicio de Windows para que el ransomware se inicie cada vez que el usuario inicia sesión en el sistema operativo de Microsoft, lo que hace que pueda cifrar otra vez los archivos creados desde el último acceso.

Modo de actuar

Su método de actuación es el mismo que utiliza este tipo de malware. Se instala en el ordenador del usuario, escanea sus archivos, lleva a cabo el cifrado y los renombra añadiendo la extensión .crptgr y finaliza solicitando el pago de una cantidad económica a cambio de devolver todos los archivos o documentos.

Recuperación de datos

Debido a su temprana aparición no se conoce ninguna forma de poder descifrar los archivos descifrados por CryptoRoger y si se quieren recuperar los datos las víctimas tendrán que pagar una cantidad aproximada de 360 dólares en bitcoins.

ransomware - texto

También se desconoce la manera en la que se distribuye este ransomware, pero lo que se sabe es que una vez que se ha conseguido instalar en el ordenador y cifrar los archivos, se abrirá un archivo llamado ¡Where_are_my_Files!.html que es el que muestra una pantallazo donde se muestran las instrucciones que hay que seguir y la cantidad que hay que pagar para conseguir el recate.

Para ello, se solicita que la víctima instale un programa de mensajería UTOX y que contacte contacto con el responsable del ransomware en la dirección:

F12CCE864152DA1421CE717710EC61A8BE2EC74A712051447BAD56D1A473194BE7FF86942D3E.

Además, en las  instrucciones también se añade que será necesario que le envíe el archivo keys.dat, que lo más probable es que sea la clave AES utilizada anteriormente para cifrar los archivos de la víctima. La clave en ese archivo, parece estar cifrada con una clave pública RSA almacenada en el archivo ejecutable del propio ransomware. De esta forma, el desarrollador del malware tiene acceso al archivo keys.dat para poder descifrarlo usando su clave privada RSA maestra y luego poder enviar la clave de descifrado AES a las víctimas que hayan llevado a cabo el pago del rescate.

Nethive Soluciones Informáticas recomienda usar un buen antivirus  para poder garantizar la seguridad de sus datos y si tiene algún problema no dude en contactar con nosotros.

Community Manager y apasionada de las redes sociales

 

Acerca de

Nethive es una consultora tecnológica independiente especializada en la prestación de servicios informáticos con amplia experiencia en el sector de las telecomunicaciones.

En este blog nuestros técnicos publican información relevante sobre la industria tecnológica internacional, imprescindible para conocer, por ejemplo, ciberataques y riesgos que puedan comprometer la seguridad de su empresa.

Solicitar presupuesto sin compromiso

Ofrecemos servicios informáticos que ayudarán a su empresa a ser más eficiente, efectiva y competitiva. Si cree que podríamos encajar en sus necesidades, deje que nos pongamos en contacto.