El modus operandi de CryptoRoger es el mismo que nos tiene ya acostumbrados este tipo de malware, se instala en el ordenador de la víctima, escanea sus archivos, los cifra y los renombra añadiendo la extensión .crptrgr y posteriormente solicita el pago de una cantidad económica por el rescate de los mismos.

ransom-note.png

Debido a su reciente descubrimiento, de momento no se conoce ninguna forma de poder descifrar los archivos afectados por CryptoRoger y por lo tanto, si se quieren recuperar los datos, las víctimas deberán pagar una cantidad que ronda los 360 dólares en bitcoins.

Cómo recuperar los archivos cifrados por CryptoRoger

Hasta el momento, también se desconoce la manera de distribuirse este ransomware, pero lo que sí está claro es que una vez ha conseguido instalarse en el equipo y cifrar los archivos, se abrirá un archivo llamado ¡Where_are_my_Files!.html, que es el que muestra en la imagen de arriba y donde se mostrarán las instrucciones y cantidad a pagar para conseguir el rescate.

Para ello, se solicita a la víctima instalar el programa de mensajería UTOX y ponerse en contacto con el responsable del ransomware en la dirección F12CCE864152DA1421CE717710EC61A8BE2EC74A712051447BAD56D1A473194BE7FF86942D3E.
En las instrucciones también se añade que será necesario que le envíe el archivo keys.dat, que probablemente sea la clave AES que se utilizó para cifrar los archivos de la víctima. La clave en ese archivo, parece estar cifrada con una clave pública RSA almacenada en el archivo ejecutable del propio ransomware. De esta manera, el desarrollador del malware tiene acceso al archivo keys.dat para poder descifrarlo usando su clave privada RSA maestra y luego poder enviar la clave de descifrado AES a las víctimas cuando hayan pasado por caja.

Por último, parece que CryptoRoger es capaz de crear un archivo .VBS en la carpeta de inicio de Windows para que el ransomware se inicie cada vez que el usuario inicia sesión en el sistema operativo de Microsoft, lo que hace que pueda cifrar otra vez los archivos creados desde el último acceso.

 

Fuente: Bleepingcomputer | softzone