Una semana después del brote de WannaCryptor en todo el mundo, otro ransomware ha entrado en escena.
Detectado por ESET como Win32/Filecoder.AESNI.C y también conocido como el ransomware XData, ha estado mayormente activo en Ucrania, con el 96% del total de detecciones entre el 17 y el 22 de mayo. Su pico de actividad se registró el viernes 19 de mayo.
Sin embargo, hemos estado siguiendo sus rastros desde el 8 de diciembre de 2016, cuando apareció por primera vez la versión Win32/Filecoder.AESNI.A. Algunas de las claves de descifrado para esa variante fueron recientemente publicadas en un foro de BleepingComputer.
Según demuestra la investigación de ESET, el ransomware XData parece estar distribuyéndose a través de un sistema de automatización de documentos muy usado por los contadores. Dado que la tasa de infección todavía es baja, un probable escenario de distribución involucra a la ingeniería social; por ejemplo, una actualización de software maliciosa. Sin embargo, todavía es temprano como para saberlo con certeza.
Una vez que infecta un equipo, el archivo principal libera una utilidad de sistema legítima (Windows SysInternals PsExec) y entonces ejecuta la muestra de ransomware (Win32/Filecoder.AESNI.C).
Si se ejecuta con privilegios de administrador, el ransomware puede infectar a toda una red. Para hacerlo, usa la herramienta Mimikatz para extraer credenciales de admin y las usa para ejecutar una copia de sí mismo en todas las computadoras interconectadas.
Si te preguntabas por qué la amenaza se llama AESNI, es porque deriva de la nota de pedido de rescate que incluía una de sus variantes anteriores:
Además, hay una funcionalidad detrás del nombre: el ransomware verifica si la máquina infectada soporta Advanced Encryption Standard Instruction Set, también conocido como AES-NI. Si ese es el caso, lo usa para cifrar los datos de la víctima más rápido, gracias a la aceleración de hardware.
Cómo mantenerte protegido
En este caso en particular, separar las cuentas de administrador de las de usuario podría prevenir la mayor parte del daño, dado que el ransomware XData se aprovecha de contraseñas de admin si logra ejecutarse en cuentas con dicho privilegio.
Sin ese componente, XData solo puede infectar una computadora en vez de toda una red.
En general, esto es lo que puedes hacer para protegerte del ransomware:
- Usa una solución de seguridad confiable que ofrezca múltiples capas de protección.
- Asegúrate de actualizar tu sistema de manera regular e instala todos los parches que se pongan a disposición.
- Ten copias de respaldo de tus archivos en un disco externo o cualquier ubicación que no forme parte de la misma red, para que no se vea afectada también en caso de una infección. Encontrarás más información en nuestra Guía de Backup.
- Nunca hagas clic en adjuntos y enlaces incluidos en correos sospechosos o inesperados. Mejor hazte estas cinco preguntas antes de acceder.