360 Total Security Blog

Los desarrolladores de Cerber lanzan Alfa Ransomware

Desde hace ya algún tiempo, nuevos tipos de ransomware aparecen cada vez con más frecuencia: Cerber, TeslaCrypt o Jigsaw ya son nombres familiares. Recientemente, un nuevo ransomware pasa a engrosar la lista de este tipo de malware. Se trata de Alfa Ransomware, creado por los los mismos desarrolladores que programaron Cerber Ransomware.

Alfa Ransomware es indescifrable

Según el investigador de seguridad BloodDolly, poco se sabe de este nuevo malware encriptador de archivos. Por ejemplo, no está claro todavía de qué manera se propaga. Sin embargo, hay una cosa clara, al igual que sucede con su hermano Cerber, el cifrado de este ransomware no ha podido ser resuelto hasta el momento.

Cuando infecta un PC, este ransomware escanea todos los discos locales buscando hasta un total de 142 tipos de archivos. Una vez que haya encriptado los archivos, Alfa añadirá la extensión .bin a los nombres. Por ejemplo “Documento.doc” se convertirá en “Documento.doc.bin”.

Los tipos de archivo en el objetivo de Alfa son:

.c, .h, .m, .ai, .cs, .db, .nd, .pl, .ps, .py, .rm, .3dm, .3ds, .3fr, .3g2, .3gp, .ach, .arw, .asf, .asx, .avi, .bak, .bay, .cdr, .cer, .cpp, .cr2, .crt, .crw, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .erf, .fla, .flvv, .hpp, .iif, .jpe, .jpg, .kdc, .key, .lua, .m4v, .max, .mdb, .mdf, .mef, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .nef, .nk2, .nrw, .oab, .obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .pas, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pps, .ppt, .prf, .psd, .pst, .ptx, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sql, .sr2, .srf, .srt, .srw, .svg, .swf, .tex, .tga, .thm, .tlg, .txt, .vob, .wav, .wb2, .wmv, .wpd, .wps, .no, .xlk, .xlr, .xls, .yuv, .back, .docm, .docx, .flac, .indd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .xlsx

Después del proceso de encriptación, Alfa Ransomware crea en el escritorio y carpetas de la víctima dos notas de rescate llamadas README HOW TO DECRYPT YOUR FILES.HTML (Léeme como desencriptar tus ficheros.HTML) y README HOW TO DECRYPT YOUR FILES.TXT. En estos documentos, la víctima puede ver un código único que tiene que utilizarse para acceder al portal de pago basado en TOR, donde se les pedirá el rescate de 1 Bitcoin para obtener la clave necesaria para desencriptar los archivos.

En ese momento, Alfa Ransomware también borra las Copias Shadow del ordenador de la víctima. Un servicio se encarga de hacer estas copias de seguridad manual o automáticamente, por lo que su borrado impide al usuario recuperar los archivos no encriptados.

La web de Alfa Decryptor

Como sucede con muchos otros ransomware, los métodos de pago asociados para poder recuperar la clave que permita desencriptar los ficheros “secuestrados”, suelen ser métodos que permiten el máximo anonimato de los desarrolladores del malware, como BitCoin. En el caso de Alfa, para obtener la clave, los usuarios deben acceder a una web de pago basada en Tor, haciendo imposible rastrear a los atacantes.

Al entrar en la web, las víctimas deben loguearse con el ID que había en la nota de rescate. Después de acceder a la página, las víctimas pueden elegir desencriptar un archivo gratis, para tentar a la víctima a pagar la cantidad de 1 BitCoin (aproximadamente 660 USD) que los atacantes piden por la clave para desencriptar los archivos. Si el usuario paga, el programa desencriptador aparecerá en la web.

Aunque los investigadores de seguridad no han averiguado todavía como se propaga Alfa Ransomware, puedes tomar precauciones básicas para reducir el riesgo de infección por este ransomware y otro malware. Por ejemplo, no abras emails si no conoces el remitente, y mucho menos sus ficheros adjuntos. Actualiza tu sistema operativo regularmente, ten un antivirus instalado y actualizado, y por último, realiza copias de seguridad regularmente para minimizar los daños.

¿Quieres saber más sobre ransomware?

1. ¿Qué es ransomware?
2. Jigsaw, amenaza con borrar tus archivos si no pagas
3. ¿Qué es el ransomware TeslaCrypt y cómo borrarlo?
4. Ransomware Cerber apunta a Office 365