Investigadores de Kaspersky Lab han descubierto un peculiar nuevo ransomware que empezó a difundirse a principios de este mes de agosto. Sobre el papel no se diferencia demasiado de otros modelos de este tipo de malware, pero su interfaz esconde un módulo oculto con el que poder personalizar los ataques.
El malware se llama KeyPass, y los investigadores rusos creen que esta capacidad podría ser una indicación de que los delincuentes detrás del troyano pretenden usarlo en ataques manuales. Vamos, que no sólo quieren que se difunda con sus ataques por defecto, sino que podrían querer ser capaces de diseñar ataques especialmente configurados para víctimas concretas.
Con esta capacidad de configuración, los atacantes podrían ser capaces de modificar el ransomware para hacer ataques muchos más sofisticados en el futuro en las redes que hayan sido infectadas. Incluso podrían cambiar propio metodo de recuperación de archivos, que actualmente pasa por comprar un supuesto software de descifrado por 300 dolares. Aun así, recordamos que todos los expertos desaconsejan siempre pagar cualquier tipo de rescate.
KeyPass lleva difundiéndose desde el pasado 7 de agosto, y a día de hoy ya ha infectado a cientos de víctimas en más de 20 países utilizando un troyano alojado en falsos instaladores de software. Su funcionamiento básico es bastante sencillo, y cuando te infecta te cifra tus archivos para pedirte un rescate.
Un ransomware personalizable por los atacantes
La función de personalización está oculta por defecto, pero al pulsar un botón especial del teclado se revela mostrando sus capacidades. Su interfaz es la que ves en esta captura tomada por Kaspersky Lab, y en ella ves varios de los campos que pueden cambiarse para personalizar el proceso de cifrado.
Los parámetros que pueden personalizarse son la clave de cifrado, así como el nombre y el texto de la nota que ven las víctimas cuando su equipo es bloqueado. También se puede personalizar la ID de la víctima, o la extensión que recibirán los archivos cifrados, y que por defecto es .KEYPASS. Además, esta interfaz también permite crear una lista de direcciones excluidas del ataque por si se quiere que el ordenador no quede del todo inutilizado.
En cualquier caso, pese a que el proceso de cifrado del ataque puede ser personalizado siempre hará falta que primero te infectes con el troyano. Por eso, la recomendación a seguir con este ransomware es la misma de siempre, la de no descargar ejecutables cuya procedencia no tengas clara, ya que gran cantidad de peligros se propagan así.
Vía | Kaspersky Lab
Imagen | Richard Patterson
En Genbeta | Casi 6 millones de dólares en tres años: el botín del misterioso operador del ransomware SamSam