Los piratas informáticos están constantemente buscando nuevas formas de atacar nuestros ordenadores. El más pequeño despiste o fallo de seguridad puede hacer que todo nuestro mundo se desmorone al ver cómo una persona totalmente desconocida tiene control total sobre nuestro PC y todos los datos que tenemos guardados en él. Incluso puede ocurrir que el pirata informático ha conseguido instalar algún tipo de malware, como un ransomware, que hace desaparecer de golpe todos nuestros archivos y nos pide pagar una gran cantidad de dinero para recuperarlos.
Windows es el sistema operativo más utilizado en todo el mundo. Y por ello, es el principal objetivo de los piratas informáticos. Sin embargo, los piratas cada vez prestan más atención a los otros sistemas operativos, como macOS y, sobre todo Linux. Estos sistemas, hasta hace tiempo, eran considerados como invulnerables, principalmente porque no eran interesantes para los piratas y, por lo tanto, no había mucha variedad de malware para ellos.
Sin embargo, los tiempos cambian. Y hoy en día los piratas informáticos están apostando mucho por el malware multi-plataforma. Este tipo de malware afecta indiferentemente a Windows, Linux o macOS, como es el caso del nuevo ransomware Tycoon.
Tycoon, un ransomware en Java para Windows y Linux
Tycoon es un nuevo ransomware, recién descubierto, que lleva en funcionamiento desde finales de 2019. Su principal característica es que se trata de un ransomware escrito en Java, por lo que un mismo fichero binario puede infectar igualmente a todos los usuarios de Windows y Linux.
Los piratas informáticos ocultan este malware dentro de un fichero ZIP modificado que, al abrirlo, ejecuta el troyano. Y para colarlo en los sistemas utilizan varios métodos, aunque el más común es a través de conexiones de Escritorio Remoto y a través de redes vulnerables.
Cuando se ejecuta el ransomware en el ordenador de la víctima, lo primero que hace es ganar persistencia en el equipo. Para ello realiza una inyección IFEO dentro de la función de teclado en pantalla de Windows. También cambia la contraseña de Active Directory, si es que se usa esta función, y se desactiva el antivirus usando la herramienta ProcessHacker.
Una vez hecho lo anterior, el ransomware empieza a cifrar todos los datos que se guardaban en el ordenador, así como los que se encontraban almacenados en unidades de red. Todos los archivos cifrados con este ransomware acaban con dos extensiones no vistas hasta ahora: .grinch y .thanos.
Cuando acaba, envía la clave privada al servidor de los piratas informáticos de forma segura, la destruye del ordenador de la víctima y muestra un mensaje para contar a la víctima lo que acaba de ocurrir.
Nota rescate ransomware Tycoon
Datos imposibles de recuperarEste ransomware utiliza un algoritmo de cifrado asimétrico Galois/Counter (GCM) mode3 con una longitud de 16-byte. Esto garantiza, por un lado, la integridad de los datos, y por otro, que no puedan ser recuperados de ninguna forma si no se tiene la clave privada.
Mientras que los archivos de las versiones antiguas de Tycoon sí se podían recuperar, los archivos cifrados con esta nueva versión del ransomware quedan perdidos para siempre.
Tenemos la opción de pagar por el rescate (un pago que debemos hacer en Bitcoin a la dirección que nos faciliten ellos), no es recomendable. Nada nos asegura que, después de pagar (y perder el dinero), recibamos la clave privada para descifrar nuestros archivos.
Igual que con cualquier otro ransomware, lo mejor que podemos hacer es mantener la calma y esperar. Tarde o temprano las empresas de seguridad encontrarán la forma de recuperar los datos sin tener que pagar. Y entonces podremos recuperarlos. Y, si tenemos una copia de seguridad, entonces lo mejor que podemos hacer es formatear el ordenador, para eliminar todo rastro del ransomware, y restaurar dicha copia.
Cómo protegernos de este ransomware
Lo primero, y lo más importante de todo, es tener siempre una copia de seguridad de nuestros archivos más importantes. Gracias a ella, si algo sale mal y caemos en las garras de los piratas informáticos, podremos recuperar nuestros datos sin ninguna preocupación.
Además, es muy importante mantener nuestro sistema operativo, y los programas que usemos a menudo, siempre actualizados con los últimos parches. De esta manera evitaremos que los piratas puedan entrar a nuestro PC a través de una vulnerabilidad y poner en jaque nuestros datos.
Por último, es necesario contar con un buen antivirus para Windows o Linux, además de usar el sentido común y desconfiar siempre por defecto de los archivos que bajamos de Internet.
Ver información original al respecto en Fuente>
https://www.softzone.es/noticias/seguridad/ransomware-tycoon-windows-linux/