El ransomware GandCrab se propaga más rápido e infectar PC con Windows XP
Una de las formas más activas de ransomware se ha actualizado con un nuevo medio de encriptación de datos para garantizar que siga siendo lo más dañino posible.
El ransomware GandCrab apareció por primera vez en enero de este año y rápidamente se convirtió en una de las formas más populares del malware de bloqueo de archivos. Se vende a bajo precio en la Darkweb oscura como 'malware como servicio' y regularmente recibe actualizaciones de sus desarrolladores.
Ahora se ha lanzado la última versión del ransomware y contiene lo que los investigadores de Fortinet describen como "una revisión en términos de la estructura del código", y algunos trucos nuevos bajo la manga.
Uno de los mayores cambios en la versión 4 de GandCrab es que el mecanismo de cifrado pasó del "RSA-2048" a un cifrado de flujo "Salsa20" mucho más rápido, permitiendo que los archivos se cifren más rápidamente que antes. El mecanismo Salsa20 ya había sido implementado por el ransomware Petya.
Esta versión de GandCrab se sirve a las víctimas a través de sitios web comprometidos de WordPress que alientan a los usuarios a descargar herramientas del sistema a través de enlaces que resultan en la descarga del malware. Los investigadores dicen que el malware es ejecutable y los enlaces de descarga se actualizan regularmente. Sin embargo, no determinan cómo se distribuirá una vez más mediante correos electrónicos de phishing en algún momento en el futuro.
Al igual que con las versiones anteriores del ransomware, comprueba si el sistema está en un país de habla rusa y, si este es el caso, no continuará encriptando los archivos. Esto, combinado con la forma en que se vende GandCrab en los foros de piratería rusa, apunta a que los autores probablemente sean de esta región del mundo.
Los que están detrás de GandCrab incluso se burlan de los investigadores de seguridad en el código del malware, al agregar sus nombres y extraños insultos en las cadenas.
Las víctimas que tienen la mala suerte de infectarse con el ransomware tienen cifrados sus archivos con una nueva extensión ".KRAB".
El mecanismo de cifrado actualizado también permite que los archivos se cifren incluso si el usuario no está conectado a Internet, en comparación con las versiones anteriores necesarias para conectarse a su servidor de comando y control antes del cifrado de archivos.
Además de no requerir conectividad para cifrar archivos, el investigador de seguridad Kevin Beaumont señala que GandCrab ahora también se puede propagar a través de un exploit SMB, incluida la capacidad de poner en peligro las máquinas que ejecutan Windows XP y Windows Server 2003 de esta manera.
Es la primera vez que el ransomware se ha podido expandir orgánicamente a estos sistemas operativos más antiguos, el exploit EternalBlue filtrado que impulsó el ransomware WannaCry "nunca funcionó contra los objetivos de XP desde el primer momento", escribe Beaumont.
"Ser capaz de propagarse sin acceso a Internet e impactar en los sistemas heredados de XP y 2003 sugiere que algunos entornos más antiguos pueden terminar en riesgo donde hay prácticas de seguridad deficientes", agregó.
La nueva extensión de archivo y la técnica de encriptación se unen mediante una nota de rescate actualizada que muestra la clave GandCrab tiene archivos cifrados junto con datos sobre la PC encriptada.
No mucho ha cambiado con la página de pago: el ransomware exige que se paguen 500 dólares en bitcoin o en criptomoneda Dash a cambio de la devolución de los archivos. El precio se duplica a 1000 dólares si el rescate no se paga dentro de unos días.
Al igual que con otras formas de ransomware, los investigadores han advertido que el rescate no debería pagarse, ya que esto solo alienta a los criminales a que este medio ilícito de hacer dinero funcione.
Hay una manera simple de evitar convertirse en víctima: en primer lugar, no descargue archivos maliciosos, especialmente de fuentes que no son de confianza.
"Se aconseja a los usuarios que siempre sean extremadamente cautelosos con los archivos descargados de Internet, especialmente las aplicaciones crackeadas. No solo violan las leyes de propiedad intelectual, sino que también suponen un gran riesgo, especialmente para usuarios no capacitados", escribió Joie Salvio, investigador principal de Fortinet en una publicación de su blog