En Internet se libra una batalla continua entre creadores de programas maliciosos y empresas antivirus que tratan de vender defensas a sus usuarios afectados por una plaga del ciberespacio llamada malware, y particularmente perniciosa como el “CryptXXX”.
Este malware se denomina Ransomware y tiene mala traducción del inglés (literalmente, software-rescate). El ransomware son programas maliciosos que se descargan en el ordenador a través de diferentes técnicas como anuncios infectados o enlaces comprometidos: una vez instalados en el ordenador, se activa y encripta todos los archivos de texto, fotos, tablas y otros, dejándolos ilegibles. En todos los discos duros, incluyendo los exteriores y las llaves USB. Una vez cumplida su misión, el criptógrafo troyano se autodestruye, dejando solo un aviso a pantalla completa de que, para recuperar los archivos, hay que pagar. La cantidad a pagar por el rescate es generalmente en Bitcoins. Una vez realizado el pago, la víctima recibe las claves para descifrar sus datos. En teoría porque, como en cualquier chantaje, no hay la menor seguridad. Según el FBI y Bitcoin, el año 2015 los chantajistas criptográficos se llevaron unos 318 millones de euros.
Algo más molesto y más caro que las usuales infecciones maliciosas que instalan anuncios o esclavizan el ordenador como parte de una red zombie.
Recientemente hemos tenido un bonito recordatorio de la mano de los creadores del ransomware conocido como “CryptXXX” y la afamada empresa de antivirus Kaspersky, quienes se han enzarzado en una hermosa batalla intelectual que por el momento ganan los ‘hackers’ de sombreros blancos. Por el momento. Todo empezó en abril, cuando investigadores de malware y otras plagas del ciberespacio de la empresa Proofpoint descubrieron la presencia de una nueva variante de ransomware que bautizaron como CryptXXX.
En el caso de CryptXXX había dos aspectos interesantes: por una parte llevaba el sello de un grupo conocido por perpetrar este tipo de ciberestafas y vinculado a una plaga anterior conocida como Reveton. Por otra, pedía 500 dólares por el rescate. Además, el programa malicioso estaba siendo diseminado a través de un conocido exploit kit (caja de herramientas de vulnerabilidades) llamado Angler/Bedep, muy extendido y contagioso. Pronto, millones de ordenadores de todo el mundo estaban infectados, incluyendo muchos españoles.
Uno sabe que está infectado por CryptXXX cuando se le aparece una página html con instrucciones de que sus archivos han sido encriptados con RSA4096, un sistema endiablado de codificación muy difícil de romper. El propio ransomware también proporciona las direcciones para conectar con ellos, incluso en la red TOR si es necesario. Los archivos permanecen en el disco duro con sus nombres originales, pero todos ellos adquieren la extensión .crypt a modo de burla. El software también roba los bitcoins que pueda tener el ordenador y algunos datos personales.
Como ocurriera en anteriores epidemias, muchos miles de usuarios se encontraron con que todo el contenido de sus discos duros había sido secuestrado y que debían pagar un rescate para recuperarlo. Los crackers o hackers blackhat ( sombrero negro; los malos) que habían creado CryptXXX, que se cree están vinculados con mafias rusas, parecían tener la sartén por el mango. Pero esta vez ocurrió un pequeño milagro: otro grupo de hackers, esta vez bienintencionados, vino en ayuda de los afectados.
A finales de abril la conocida empresa de antivirus Kaspersky Lab liberó una herramienta que permitía a los afectados recuperar sus archivos, siempre que dispusieran al menos de un archivo no infectado (por ejemplo, en un usb externo). Y de modo completamente gratuito.
La herramienta está basada en otra anterior construida para lidiar con el Rannoh y ha conservado el nombre RannohDecryptor. Los técnicos de Kaspersky la modificaron para que fuese capaz de desencriptar los archivos atacados por CryptXXX. Y todo fueron regocijos, al menos durante un rato. Un rato muy corto: a principios de mayo se anunció el descubrimiento de una nueva versión de CryptXXX modificada de tal modo que era inmune a RannohDecryptor. Punto y set para los malos.
Pero el partido, por el momento los sombreros blancos de Kaspersky fueron capaces de modificar su herramienta para que pudiera descerrajar la nueva versión mejorada de CryptXXX. De modo que, por el momento, ganan los buenos: si no toma usted las adecuadas precauciones y se agarra esta molesta ciberinfección es posible que tenga suerte y que salga con buen pie del apuro gracias a ellos. Pero lo mejor sería que ejercite la mayor de las precauciones y evite cometer errores que puedan causarle problemas, sobre todo si trabaja con alguna versión de Windows y si navega con Internet Explorer.
Como norma general para evitar el ransomware y el malware en general, es vital mantener el sistema operativo al día, usar un navegador reciente y tener un antivirus adecuado, lo que puede salvarle de muchos problemas. Porque la próxima vuelta de tuerca tal vez le corresponda a los malos.