Cuando los hackers malvados se aburren, no paran hasta que encuentran nuevas formas de hacer daño y ganar dinero con las espaldas de sus víctimas. Una nueva amenaza está sembrando el miedo entre los usuarios de Internet, y es una variante del software de rescate apodado «CryPy», que fue escrito en el lenguaje Python. A diferencia de otros programas maliciosos, asigna una clave única a cada archivo que está cifrado en el sistema de la víctima y es muy difícil descifrarlo.
El investigador de AVG, Jakub Kroustek, que publicó en su cuenta de Twitter que este software de rescate fue detectado en estado salvaje, nos advirtió sobre la existencia de CryPy. Parece que CryPy está compuesto por dos archivos: boot_common.py, que se utiliza para el registro de errores en Windows y encryptor.py, que es el locker y contiene varias funciones. Parece que hay un servidor web en Israel, que fue comprometido usando una vulnerabilidad en una gestión de contenido (Magento) y los hackers usaron el servidor para ataques de phishing.
Se cree que detrás de estos ataques hay algunos desarrolladores de habla hebrea, que fueron capaces de robar las credenciales de Paypal y luego reenviarlas a un servidor remoto en México que contiene una gestión de contenidos diferente, pero la misma técnica de carga de archivos. En cuanto a CryPy, una vez que infecta un sistema, desactiva las características que normalmente terminan con el malware, como Registry Tools, Task Manager, CMD y Run. Después de eso, encripta los archivos y asigna una clave única para cada archivo que está encriptado. Luego, a las víctimas se les envía una nota de rescate que dice:
«Todos sus archivos están encriptados con chiphers fuertes[sic]. El descifrado de sus archivos sólo es posible con el programa de descifrado, que se encuentra en nuestro servidor secreto. Tenga en cuenta que cada 6 horas, un archivo aleatorio se elimina permanentemente. Cuanto más rápido sea, menos archivos perderá. Además, en 96 horas, la clave se eliminará permanentemente y no habrá forma de recuperar sus archivos. Para recibir su programa de descifrado, póngase en contacto con uno de los correos electrónicos: 1. [email protected] 2. [email protected]. Simplemente informe su identificación y le daremos las siguientes instrucciones. Su identificación personal:»
No se sabe si el software de rescate ya ha causado víctimas, pero es importante instalar un potente software anti-ransomware para evitar estos ataques.