En abril de 2016, se lanzó un joven y ambicioso troyano cifrador conocido con el nombre de CryptXXX que se distribuía mediante los kits de exploit Angler y Neutrino. Esperaban que, tras el lanzamiento, el dinero de las víctimas les llegaría sin más a sus monederos bitcoin. Pero las cosas no fueron del modo esperado.
Unos días después de que el troyano CryptXXX fuese descubierto, los expertos de Kaspersky Lab encontraron un error en los algoritmos de cifrado del mismo y, por ello, pudieron crear un remedio. Se podía utilizar la utilidad gratuita llamada Rannoh Decryptor para descifrar los archivos que había cifrado CryptXXX.
Los delincuentes tuvieron que levantarse de su cómodo asiento para ponerse a trabajar en la solución de los bugs. Empezaron a distribuir una nueva versión, pero nuestros expertos necesitaron unos pocos días más para crear un remedio para la segunda versión de CryptXXX. El descifrador Rannoh se actualizó y las víctimas del troyano pudieron, de nuevo, descifrar sus archivos sin tener que pagar el rescate.
Actualización: el #ransomware CryptXXX resuelto de nuevo. Descifra gratis tus archivos https://t.co/GD7FAzKZFw pic.twitter.com/lKW0PdeQF7
— Kaspersky España (@KasperskyES) May 17, 2016
Con sus previas versiones saboteadas, los delincuentes volvieron a insistir y crearon una tercera versión de su ransomware con la esperanza de que nadie fuera capaz de encontrar un modo para crear un descifrador.
Casi lo consiguen. Durante un largo período de tiempo, CryptXXX 3.0 (y sus variantes) ha sido capaz de aterrorizar a todo el mundo, cifrar sus archivos y pedir un rescate si querían recuperarlos. También era capaz de robar credenciales de diferentes aplicaciones.
La distribución de la nueva versión empezó en mayo y nuestros expertos estiman que puede que haya cientos de miles de usuarios infectados. Solo los productos de Kaspersky Lab detectaron y previnieron uno 80.000 intentos de infección a ordenadores con la versión 3 de CryptXXX. Casi un cuarto de todos los ataques iba contra usuarios de EE. UU y un 28 % fue contra usuarios de Rusia, Alemania, Japón, la India y Canadá.
Pero nada es para siempre. Hoy estamos contentos de anunciar que nuestros investigadores han sido capaces de encontrar un remedio para la tercera versión del troyano CryptXXX, por lo que los archivos .cryp1, .crypt y .crypz pueden volverse a descifrar. Hemos añadido el descifrado a la utilidad Rannoh Decryptor, la cual puedes encontrar en nuestra página web o en NoMoreRansom.org.
Si has sido víctima de alguna versión de CryptXXX, visita alguna de las páginas anteriormente mencionadas, descarga la utilidad y recupera tus archivos. Nuestras utilidades son gratuitas, por lo que te ahorras una gran cifra al no tener que pagar el rescate a los delincuentes.
Anton Ivanov, experto en seguridad de Kaspersky Lab, afirma: “Nuestro consejo para las víctimas de las diferentes familias de ransomware es el siguiente: aunque no exista una herramienta de descifrado disponible para la versión del malware que ha cifrado tus archivos, por favor, no paguéis el rescate a los delincuentes. Guardad los archivos corruptos y sed pacientes, hay altas probabilidades de que se lance una herramienta de descifrado en el futuro. Consideramos el caso de la tercera versión de CryptXXX como la prueba para seguir este consejo. Múltiples especialistas en seguridad del mundo trabajan duro continuamente para poder ayudar a las víctimas de ransomware. Tarde o temprano se encontrará la solución para la gran mayoría de ransomware“.
Nuestro otro consejo es que pienses de forma proactiva y te protejas por adelantado. Es mucho más conveniente que, en primer lugar, no corrompan tus archivos. Para ello, sigue los siguientes dos pasos.
1. Haz copias de seguridad regularmente en una unidad removible que no se mantenga conectada a tu ordenador todo el tiempo.
2. Instala una buena solución de seguridad. Por cierto, recientes estudios independientes han demostrado que Kaspersky Internet Security es sumamente bueno contra el ransomware.
Y si tienes una empresa, prueba nuestra herramienta gratuita para combatir el ransomware.