Ransomware XData se expande más rápido que Wannacrypt

Parece que esta semana nos toca seguir hablando de ransomware de forma un tanto cansina, pero la actualidad manda. Y es que después del temido Wannacry tenemos algo quizá incluso peor entre manos: una muestra conocida como XData y recién descubierta parece estar expandiéndose a un ritmo bastante superior.

¿Os acordáis de Malwarehunter? Si, ese chaval dedicado a la ciberseguridad que hace no muchos días compró un dominio empleado por Wannacrypt y que activó un mecanismo de bloqueo en la infección, reduciendo en gran medida su avance.

XData podría hacer más daño que WannaCry

Pues resulta que MalwareHunter es colaborador del servicio ID-ransomware, utilizado para analizar muestras de archivos infectados y conocer el culpable, y en dicho servicio ha aparecido este nuevo XData –hasta ahora solo operando en Ucrania- y que ha conseguido situarse como la segunda infección con mayor actividad en escasos dos días.

Este nuevo ransomware ha llamado rápidamente la atención del equipo, ya que en un solo día consiguió infectar ¡4 veces más equipos que el ya conocido Wannacry en un semana entera!

El 95% de los usuarios infectados se encuentran hasta el momento en Ucrania, aunque ya ha llegado a Rusia, Alemania y Estonia.

Es decir, sin quitar mérito a la enorme tasa de infección del “bicho” que entró en Telefónica y en medio mundo, XData podría dejarlo en pañales, a juzgar por su tasa de infección hasta la fecha en países como Ucrania, Rusia y Alemania.

Así opera el ransomware XData

Este malware ha sido visto por primera vez en Mayo de 2017. Su medio de dispersión es actualmente desconocido, pero ya sabemos algo respecto a los procesos y archivos a los que afecta durante su ataque. En un equipo infectado, se puede observar una modificación de los siguientes procesos:

• mssql.exe
• msdns.exe
• msdcom.exe
• mscomrpc.exe

XData utiliza cifrado mediante algoritmo AES para bloquear nuestros archivos. Una vez atacados, añade la extensión .~xdata~ a los mismos. Así, un archivo PDF llamado “ejemplo.pdf” quedaría como ejemplo.pdf.~xdata~.

Además de infectar archivos locales, es capaz de atacar las unidades de red mapeadas y no-mapeadas. Cuando finaliza el proceso de cifrado, el ransomware mostrará la clásica ransom note cuyo nombre es: HOW_CAN_I_DECRYPT_MY_FILES.txt.

Conclusiones

Cuando aún estamos digiriendo el susto anterior, ya tenemos un nuevo quebradero de cabeza a la vista. Además, no existe por el momento ningún mecanismo para recuperar los datos, así que extremad la precaución y ¡poned en marcha esos backups! Seguiré informando de su evolución.