Los primeros rastros de CryptXXX aparecieron a finales del mes de marzo y los expertos en seguridad señalan que se transmite utilizando el ya famoso Angler Exploit Kit, una herramienta para difundir el software malicioso e infectar a los usuarios. Se aprovecha de algunas vulnerabilidades y agujeros de seguridad para llegar a los ordenadores de los usuarios.
Una vez infecta, el ransomware CryptXXX cambia el fondo de pantalla y coloca varios ficheros de texto y HTML por todo el ordenador. Estos ficheros con el nombre de_crypt_readme.txt and de_crypt_readme.html, nos muestran “más información” sobre lo que le ha ocurrido a nuestros ficheros.
Como vemos en la imagen superior, nos explica que nuestros archivos se han cifrado con una clave RSA4096 y nos ofrece instrucciones sobre cómo tenemos que proceder al pago para que nos liberen los archivos. Para ello y como es habitual, nos enlazan a una web .onion a la que tendremos que acceder con el navegador Tor Browser. Lo habitual es pedir 1,2 Bitcoin como rescate, que vienen a ser unos 450 euros.
Pero lo peor no es eso aunque cueste creerlo. También se ha descubierto que CryptXXX analiza el ordenador en busca de contraseñas de clientes de mensajería, de clientes de correo electrónico, de clientes de FTP y de los navegadores de Internet. Además, también tendría la capacidad de robar Bitcoin aunque la firma de seguridad que ha alertado sobre esto no ha explicado cómo ocurre.
Se espera que CryptXXX empiece a expandirse de forma exponencial en las próximas semanas y llegue a tener un impacto similar al de Locky. La diferencia con otros ransomware aparecidos en los últimos tiempos es que ha sido creado por los responsables de otras amenazas muy peligrosas registradas en el pasado.
Os recomendamos Ransomware Removal Kit, una navaja suiza de herramientas para liberar tus archivos, en caso de que hayáis tenido algún problema con este tipo de amenazas. Seguiremos informando sobre CryptXXX y las novedades que se produzcan al respecto.
