CryPy | Nuevo virus ransomware

Los virus tipo ramsom, aquellos que secuestran tu información, son actualmente una de las amenazas más peligrosas para la información personal como para las empresas. Hoy nuestra vida o la actividad de nuestro negocio está en ficheros... y estos son objeto de deseo, no por lo que contengan, sino porque saben que haremos cualquier cosa por recuperarlos.

Hasta ahora, las tareas de recuperación de información de un ransomware se podían realizar incluso con herramientas gratuitas o con operaciones de recuperación desde el mismo sistema operativo. La nueva variable de la que hablamos hoy va un paso más allá con el objetivo de dificultar nuestros intentos.

CryPy realizar el cifrado individual con una clave diferente por archivo. No usa la misma para todos los infectados. Esto sin duda es una vuelta de tuerca para desalentar a quien se dispone a realizar las tareas de descifrado de los archivos. El desarrollo en Python de esta amenaza nos indica que dos ficheros son los que llegan a nuestro equipo y se encargan del trabajo sucio: boot_common.py y encryptor.py

¿Qué hacen estos ficheros?

boot_common.py es el que inicia todo y hace que no podamos evitarlo. Desactiva el Administrador de tareas y el acceso al registro de Windows, por lo que quedamos con las manos atadas para parar la tarea o evitar el siguiente paso.

encryptor.py pues hace lo que queda... encriptar todo lo que pilla, eso sí, con la variación de hacernos la gracia de usar una clave diferente para cada fichero.

Además, la forma de distribución ha evolucionado gracias a que utilizan software no actualizado que se utiliza para comercio electrónico para infectar al visitante. Hablamos de Magento y de sus versiones no actualizadas.

Por lo tanto, mucho OJO, ya no sólo con lo que descargamos, hacemos clic sino también a que páginas accedemos que no sabemos si su administrador a hecho su trabajo. Yo por lo pronto, estos dos ficheros van directos a mi blacklist.