Estos días, estamos recibiendo llamadas de personas que están siendo afectadas por el ransomware llamado Crysis.

Parece ser la continuación de una campaña de infecciones por parte de atacantes que utilizan el acceso al Protocolo de Escritorio Remoto (RDP), mal protegido con credenciales débiles. Este tipo de campañas de infecciónes manuales ya había sido reportado en 2016 y 2017.

Crysis tiene diferentes variantes. En los casos recientes que hemos visto, los archivos infectados se identifican por la extensión .java. Los equipos se infectan de forma manual a través del acceso al RDP, es decir, que antes de la infección un atacante accede al equipo de la víctima mediante ataques por fuerza bruta del protocolo RDP de Windows en el puerto 3389.

El atacante termina tomando el control de la consola y del escritorio del equipo, normalmente por culpa de unas credenciales débiles y del uso de usuarios estándar como “administrador”.

Por lo general, el atacante descarga e instala programas de monitoreo como keyloggers para recopilar datos del sistema y de las actividades de la víctima (particular o empresa). A través del monitoreo y la recolección de credenciales, también puede extender el alcance del ataque a otros recursos de la red de la víctima.

Una vez que se han recopilado suficientes datos, la variante de Crysis se ejecuta en la máquina de la víctima y el ransomware encripta casi todos los archivos de la máquina afectada, incluidos los archivos ejecutables, lo que no es muy común con otros tipos de ransomware.

Después de cifrar los archivos, se deja un mensaje de texto en cada carpeta del equipo de la víctima en el que se le pide que se ponga en contacto con el atacante en la dirección de correo electrónico suministrada. La dirección también está presente en los nombres de los archivos infectados.

Es poco común (teniendo en cuenta los últimos ataques ransomware a gran escala) el hecho de que la cantidad de rescate exigida por los atacantes se personalize de acuerdo con los datos que el atacante obtuvo previamente con el monitoreo de la víctima.

A una empresa adinerada se le pide más dinero que a una más pequeña. A diferencia de los ataques de ransomware anteriores (donde el rescate se cuantificó en cientos de dólares) estas demandas de rescate generalmente alcanzan miles de dólares.

Otra diferencia respecto a variantes anteriores cuyas claves ya están publicadas y cuyos archivos infectados pueden descifrarse mediante diversas herramientas, como Kaspersky Rakhni Decryptor y AVG Crysis decryptor, es que esta variante de Crysis.java utiliza nuevas claves RSA personalizadas, lo que hace que la recuperación de los archivos infectados sea IMPOSIBLE por el momento .

Una investigación ha colocado a España en la lista de los países más afectados por este tipo de ransomware:

En los casos recientes, hemos visto que Crysis permanece inactivo en el equipo infectado durante meses hasta que el ransomware entra “en acción”. Además, nuestros analistas encontraron pruebas de que los servidores de las víctimas se utilizaron para la extracción de criptomonedas antes de la infección manual y la demanda de rescate.

Entonces, ¿qué podemos hacer?

  • Mantén tus copias de seguridad actualizadas.
  • NO hagas clic en enlaces de dudosa confianza que provienen de correos electrónicos, mensajes o redes sociales.
  • En caso de que te infectes, NO REINICIAR LA MÁQUINA. Llama a una compañía de seguridad de datos inmediatamente:

ALLION.exe: en la siguiente imagen se puede ver una muestra de este ransomware, un minero de bitcoin y un software de supervisión que se encuentra en uno de los servidores de la víctima. El minero y el archivo PH también fueron infectados y el formato de nombre asignado a los archivos infectados es una característica del ransomware Crysis.

Crysis ransomware screenshot[:]