Secuestro en el ordenador: CryptXXX contra Kaspersky

Es tan viejo como el mundo: alguien diseña una cabeza de flecha capaz de atravesar cualquier escudo de cuero y enfrente alguien inventa una coraza de bronce para hacerse invulnerable a ella, lo cual provoca el desarrollo de una ballesta capaz de perforarla, que lleva a adoptar una armadura de acero, y así sucesivamente. Cada nueva defensa genera un nuevo ataque. Y el universo digital no iba a ser menos: a cada antivirus le corresponde un virus, o quizá sea al revés; ya nadie se acuerda de quién tiró la primera piedra.

Recientemente hemos tenido un bonito recordatorio de la mano de los creadores del ramsonware conocido como CryptXXX y la afamada empresa antivirus Kaspersky, quienes se han enzarzado en una hermosa batalla intelectual que por el momento ganan los 'hackers' de sombreros blancos. Por el momento. Todo empezó en abril, cuando investigadores de malware y otras plagas del ciberespacio de la empresa Proofpoint descubrieron la presencia de una nueva variante de ramsonware que bautizaron como CryptXXX.

El ramsonware son programas maliciosos que se descargan en el ordenador a través de diferentes técnicas como anuncios infectados o enlaces comprometidos: una vez instalados en el ordenador proceden a encriptar todo el contenido del disco duro haciéndolo ilegible. Para recuperar los archivos "secuestrados", el programa malicioso proporciona a la víctima un método de identificación y otro de pago; a veces este último exige la adquisición de Bitcoins, ciberdivisa que resulta imposible de localizar. Una vez pagado el rescate, se recibe la clave que permite desencriptar, y por tanto volver a hacer legibles, los ficheros. Algo más molesto y más caro que las usuales infecciones maliciosas que instalan anuncios o esclavizan el ordenador como parte de una red zombie.

En el caso de CryptXXX había dos aspectos interesantes: por una parte llevaba el sello de un grupo conocido por perpetrar este tipo de ciberestafas y vinculado a una plaga anterior conocida como Reveton. Por otra, pedía 500 dólares por el rescate. Además, el programa malicioso estaba siendo diseminado a través de un conocido exploit kit (caja de herramientas de vulnerabilidades) llamado Angler/Bedep, muy extendido y contagioso. Pronto, millones de ordenadores de todo el mundo estaban infectados, incluyendo muchos españoles.

El CryptXXX, o un malvado chantajista

Uno sabe que está infectado por CryptXXX cuando se le aparece una página html con instrucciones de que sus archivos han sido encriptados con RSA4096, un sistema endiablado de codificación muy difícil de romper. El propio ramsomware también proporciona las direcciones para conectar con ellos, incluso en la red TOR si es necesario. Los archivos permanecen en el disco duro con sus nombres originales, pero todos ellos adquieren la extensión .crypt a modo de burla. El software también roba los bitcoins que pueda tener el ordenador y algunos datos personales.

Como ocurriera en anteriores epidemias, muchos miles de usuarios se encontraron con que todo el contenido de sus discos duros había sido secuestrado y que debían pagar un rescate por recuperarlo. Los crackers o hackers blackhat (sombrero negro; los malos) que habían creado CryptXXX, que se cree están vinculados con mafias rusas, parecían tener la sartén por el mango. Pero esta vez ocurrió un pequeño milagro: otro grupo de hackers, esta vez bienintencionados, vino en ayuda de los afectados.

A finales de abril la conocida empresa de antivirus Kaspersky Lab liberó una herramienta que permitía a los afectados recuperar sus archivos, siempre que dispusieran al menos de un archivo no infectado (por ejemplo, en un usb externo). Y de modo completamente gratuito.

La herramienta está basada en otra anterior construida para lidiar con el ramsonware Rannoh y ha conservado el nombre RannohDecryptor. Los técnicos de Kaspersky la modificaron para que fuese capaz de desencriptar los archivos atacados por CryptXXX. Y todo fueron regocijos, al menos durante un rato. Un rato muy corto: a principios de mayo se anunció el descubrimiento de una nueva versión de CryptXXX modificada de tal modo que era inmune a RannohDecryptor. Punto y set para los malos.

Pero no partido, por el momento: la semana pasada otra vez los sombreros blancos de Kaspersky fueron capaces de modificar su herramienta para que pudiera descerrajar la nueva versión mejorada de CryptXXX. De modo que, por el momento, ganan los buenos: si no toma usted las adecuadas precauciones y se agarra esta molesta ciberinfección es posible que tenga suerte y que salga con buen pie del apuro gracias a ellos. Pero lo mejor sería que ejercite la mayor de las precauciones y evite cometer errores que puedan causarle problemas, sobre todo si trabaja con alguna versión de Windows y si navega con Internet Explorer (cosa que no debería hacer).

Para evitar el ramsonware y el malware en general, es vital mantener el sistema operativo al día, usar un navegador reciente y tener un antivirus adecuado, lo que puede salvarle de muchos problemas. Porque la próxima vuelta de tuerca le corresponde a los malos.