Dr. Web KatanaNoticiaskristina

Seguridad-profesional quiere informar de un nuevo ransomware, relacionado con Crypt12, llamado Kristina que llega oculto al correo electrónico con la envoltura de un archivo ZIP y que ha infectado al sistema Windows. Cuando es abierto el email, se descarga y ejecuta el programa KristinaCS.exe. La infección fue descubierta por un investigador de malware de S!Ri el 15 de agosto de 2017 y, en la actualidad, se están investigando ransomware antivirus que puedan acabar con ésta amenaza.

Otro método por el que podemos infectarnos es por navegar por sitios web maliciosos o sitios que hayan sido contaminados con virus. Un procedimiento es el drive-by-download, webs quebrantadas con scripts maliciosos que buscarán vulnerabilidades en nuestro ordenador para infectarnos.

Crypt12 es un virus que nos va a cifrar algunos archivos usando la clave RSA-2048 (algoritmo de cifrado AES CBC de 256 bits) y va a agregar un indicador nombre_fichero.extension=id=hernansec@protonmail.ch.crypt12 al final de cada uno de ellos. Desde este momento, no se podrá abrir ninguno de esos archivos.

El método por el que más se propaga este virus es mediante emails spam con archivos adjuntos. Es muy importante que seamos muy cautos ante este tipo de emails debido a que muchas veces utilizan artes engañosas para convencernos que debemos descargar los archivos adjuntos que traigan ó clicar sobre los enlaces que haya en el email.

Los mejores consejos ” ransomware antivirus ” que le podemos ofrecer antes de abrir el ZIP son:
– si el email es extraño o irreconocible, no abra el ZIP;
– si descarga el ZIP, pase inmediatamente el antivirus de su ordenador;

RANSOMWARE ANTIVIRUS, PROPUESTA DR.WEB

Lo más curioso de este nuevo virus es que no cifra los archivos automáticamente. Al parecer, después de infectar el ordenador, los ciber-delincuentes seleccionan de forma manual y remota qué unidad y archivos desean cifrar.

En el nuevo ransomware Kristina, se le notificará al usuario contagiado mediante la transformación de su fondo de pantalla (aparecerá el siguiente texto):

Your files Have Been Crypted email to:
hernansec @ protonmail.ch for instuctions

Ó con éste otro email:
mortalis_certamen @ aol.com for instuctions

Los usuarios perjudicados con el virus que pagan el rescate y siguen las órdenes del mensaje podrían recuperar sus archivos y eliminar el ransomware, pero no es recomendable hacerlo ( 0,5 BTC que equivale a 300 €). Pagar la multa puede llegar a causar más problemas a las víctimas y, además, no hay seguridad de poder recuperar los archivos. Seguridad-profesional.com aconsejable eliminar el malware siguiendo distintos procedimientos dirigidos por Dr.Web, uno de los pocos fabricantes de antivirus en el mundo que tiene sus propias tecnologías de detección y de desinfección de malware.

 

kristina malware

CARACTERÍSTICAS TÉCNICAS SOBRE CRYPT12 RANSOMWARE

Nombre Crypt12 Ransomware

Tipo Ransomware

Riesgo Alto

Extensión de archivo “= [ID] = [EMAIL] .crypt12″

Petición de rescate $ En Bitcoins

Distribución Spam correos electrónicos adjuntos, corruptos o malos scripts, etc

Alias

Ransom_CRYPTWELVE.A
Malicious_confidence_90% (W)
Trojan-Ransom.MSIL.Agent.gmi
Trojan.Ransom.Crypt12 (A)
Win32: Malware-gen
TrojWare.Win32.Ransom.Obernam.YER

Sistemas infectados Sistema operativo Windows

El último consejo ” ransomware antivirus ” que le podemos dar para prevenir daños mayores ante un ataque del virus es : tener una copia de seguridad y probarla frecuentemente porque si su sistema se infecta con ransomware recuperará fácilmente los archivos.

 

Leer entradas:

Todos contra el Ransomware

 

Dr.Web Katana, el antivirus diseñado para ganar