MALAS NOVEDADES SOBRE NUEVAS VARIANTES DEL ULTRACRYPTER, TAMBIEN LLAMADO CRYPTXXX

Se están recibiendo incidencias sobre infecciones de este ransomware que añade CRYPT o CRYPT1 a los ficheros cifrados,
— Versión 3.100 Cifra con RSA4096, impidiendo el descifrado con las utilidades conocidas

— dispone de módulo stillerx, que envía contraseñas de aplicaciones conocidas a los piratas creadores de dicho ransomware

— pantalla de información para rescate propia (no como la del Cryptowall de antes)

— infecta otros equipos conectados en red al estilo de los conocidos gusanos de antaño.

— Añade atributo +R a los ficheros cifrados, para dificultar su eliminación final

Desde hace tiempo, el ransomware se ha convertido en el tipo de malware más peligroso de la red. Cuando este malware infecta un ordenador automáticamente comienza a cifrar todos los datos de la víctima de manera que, cuando finaliza, pide el pago de un rescate a cambio de la clave privada utilizada en el cifrado o, de lo contrario, los datos se perderán para siempre. Cada poco tiempo, estas amenazas se actualizan para ser más complicadas de detectar y de descifrar, sin embargo, en los últimos meses también hemos podido ver cómo el ransomware pasa de ser una amenaza única a cubrir más amenazas potenciales.

Expertos de seguridad han detectado una nueva versión del ransomware antes conocido como CryptXXX, que ahora llaman ULTRACRYPTER, concretamente la 3.100, que llega con un gran número de cambios y “mejoras” de manera que ahora es más eficaz a la hora de cifrar los archivos, mas difícil de detectar y, más preocupante, incluyendo un módulo capaz de volcar las contraseñas de diferentes aplicaciones y enviarlas a un servidor controlado por los propios piratas informáticos.

Este nuevo módulo espía, llamado “StillerX“, ha sido diseñado especialmente para robar contraseñas de bases de datos internas de un gran número de programas de uso diario. Mientras el ransomware hace de las suyas, este módulo extrae las contraseñas, tanto cifradas como en texto plano, de los programas compatibles y las envía automáticamente al servidor controlado por los piratas informáticos, donde se almacenan para procesarlas más adelante.

Nuevo CryptXXX (Ultracrypter) Ransomware software espía

Este módulo es capaz de capturar las contraseñas de los principales navegadores web, gestores de descargas, clientes de correo electrónico, clientes FTP, plataformas de mensajería, aplicaciones de poker online, VPN y todos los credenciales almacenados en el Administrador de Credenciales de Microsoft.

Además de las propias librerías del ransomware, el módulo espía depende de “stiller.dll,” “stillerx.dll” y “stillerzzz.dll”.

Cambios internos en CryptXXX muestran un desarrollo más maduro y preocupante

Además del módulo de robo de datos, esta última versión del ransomware ha llegado con otros muchos cambios que realmente preocupan a los expertos de seguridad. El primero de ellos es el cambio de la ventana de rescate, que hasta ahora utilizaba la de CryptoWall, como otros muchos, por una nueva propia.

Además, todos los algoritmos de cifrado han cambiado, dejando las herramientas que permitían el descifrado de los datos de forma gratuita obsoletas, no funcionando con los datos cifrados por CryptXXX 3.100.

Por último, una función también preocupante es que este nuevo ransomware es capaz de encontrar otros equipos conectados a la red e infectarlos, de forma muy similar a como trabajan los gusanos que en los años 90 hicieron temblar las redes y que a día de hoy aún sigue alguno activo imposible de eliminar.

Está claro que el ransomware está cambiando, y para mal. Lo que empezó siendo como una simple aplicación que bloqueaba la pantalla y engañaba a los usuarios para pagar una multa se está convirtiendo en una amenaza de lo más compleja que no solo es capaz de dejar al usuario sin sus datos más queridos, sino que también es capaz de robar todas sus contraseñas para, posteriormente, utilizarlas o venderlas.

Solo podemos esperar para ver qué nos depara el futuro del ransomware.

– Ver información original al respecto en Fuente: http://www.redeszone.net/2016/06/06/ransomware-cryptxxx-ahora-tambien-roba-tus-contrasenas/#sthash.oPCSfGxv.dpuf

COMENTARIO:

Pues muy preocupante tanto lo del robo de contraseñas como lo de infección a otros ordenadores de la red, cosa que hasta ahora estabamos tranquilos al respecto, pero se acabó lo que se daba…

Nos tememos que otros ransomwares sigan esta moda y no se limiten a cifrar los datos, sino que además vayan propagando el ransomware a otros ordenadores y roben contraseñas a las máquinas afectadas, contra lo conocido hasta el momento con los ransomwares.

saludos

ms, 6-6-2016