Ransomware XData se expande más rápido que Wannacrypt
Parece que esta semana nos toca seguir hablando de ransomware de forma un tanto cansina, pero la actualidad manda. Y es que después del temido Wannacry tenemos algo quizá incluso peor entre manos: una muestra conocida como XData y recién descubierta parece estar expandiéndose a un ritmo bastante superior.
![]()
https://seguridadparaelpc.files.wordpress.com/2017/05/xdata-numbers.jpg
XData - expansión
¿Os acordáis de Malwarehunter? Si, ese chaval dedicado a la ciberseguridad que hace no muchos días compró un dominio empleado por Wannacrypt y que activó un mecanismo de bloqueo en la infección, reduciendo en gran medida su avance.
XData podría hacer más daño que WannaCry
Pues resulta que MalwareHunter es colaborador del servicio ID-ransomware, utilizado para analizar muestras de archivos infectados y conocer el culpable, y en dicho servicio ha aparecido este nuevo XData hasta ahora solo operando en Ucrania- y que ha conseguido situarse como la segunda infección con mayor actividad en escasos dos días.
![]()
https://seguridadparaelpc.files.wordpress.com/2017/05/xdata-ransom-note.jpg
XData-ransom-note
Este nuevo ransomware ha llamado rápidamente la atención del equipo, ya que en un solo día consiguió infectar ¡4 veces más equipos que el ya conocido Wannacry en un semana entera!
El 95% de los usuarios infectados se encuentran hasta el momento en Ucrania, aunque ya ha llegado a Rusia, Alemania y Estonia.
![]()
https://seguridadparaelpc.files.wordpress.com/2017/05/xdata-heatmap.jpg
XData - mapa de calor del ransomware
Es decir, sin quitar mérito a la enorme tasa de infección del bicho que entró en Telefónica y en medio mundo, XData podría dejarlo en pañales, a juzgar por su tasa de infección hasta la fecha en países como Ucrania, Rusia y Alemania.
Así Opera el ransomware XData
Este malware ha sido visto por primera vez en Mayo de 2017. Su medio de dispersión es actualmente desconocido, pero ya sabemos algo respecto a los procesos y archivos a los que afecta durante su ataque. En un equipo infectado, se puede observar una modificación de los siguientes procesos:
mssql.exe
msdns.exe
msdcom.exe
mscomrpc.exe
XData utiliza cifrado mediante algoritmo AES para bloquear nuestros archivos. Una vez atacados, añade la extensión .~xdata~ a los mismos. Así, un archivo PDF llamado ejemplo.pdf quedaría como ejemplo.pdf.~xdata~.
Archivos cifrados por XData
Además de infectar archivos locales, es capaz de atacar las unidades de red mapeadas y no-mapeadas. Cuando finaliza el proceso de cifrado, el ransomware mostrará la clásica ransom note cuyo nombre es: HOW_CAN_I_DECRYPT_MY_FILES.txt.
Ver información original al respecto en Fuente:
https://protegermipc.net/2017/05/25/ransomware-xdata-se-expande-mas-rapido-que-wannacrypt/
Parece que esta semana nos toca seguir hablando de ransomware de forma un tanto cansina, pero la actualidad manda. Y es que después del temido Wannacry tenemos algo quizá incluso peor entre manos: una muestra conocida como XData y recién descubierta parece estar expandiéndose a un ritmo bastante superior.
https://seguridadparaelpc.files.wordpress.com/2017/05/xdata-numbers.jpgXData - expansión
¿Os acordáis de Malwarehunter? Si, ese chaval dedicado a la ciberseguridad que hace no muchos días compró un dominio empleado por Wannacrypt y que activó un mecanismo de bloqueo en la infección, reduciendo en gran medida su avance.
XData podría hacer más daño que WannaCry
Pues resulta que MalwareHunter es colaborador del servicio ID-ransomware, utilizado para analizar muestras de archivos infectados y conocer el culpable, y en dicho servicio ha aparecido este nuevo XData hasta ahora solo operando en Ucrania- y que ha conseguido situarse como la segunda infección con mayor actividad en escasos dos días.
https://seguridadparaelpc.files.wordpress.com/2017/05/xdata-ransom-note.jpgXData-ransom-note
Este nuevo ransomware ha llamado rápidamente la atención del equipo, ya que en un solo día consiguió infectar ¡4 veces más equipos que el ya conocido Wannacry en un semana entera!
El 95% de los usuarios infectados se encuentran hasta el momento en Ucrania, aunque ya ha llegado a Rusia, Alemania y Estonia.
https://seguridadparaelpc.files.wordpress.com/2017/05/xdata-heatmap.jpgXData - mapa de calor del ransomware
Es decir, sin quitar mérito a la enorme tasa de infección del bicho que entró en Telefónica y en medio mundo, XData podría dejarlo en pañales, a juzgar por su tasa de infección hasta la fecha en países como Ucrania, Rusia y Alemania.
Así Opera el ransomware XData
Este malware ha sido visto por primera vez en Mayo de 2017. Su medio de dispersión es actualmente desconocido, pero ya sabemos algo respecto a los procesos y archivos a los que afecta durante su ataque. En un equipo infectado, se puede observar una modificación de los siguientes procesos:
mssql.exe
msdns.exe
msdcom.exe
mscomrpc.exe
XData utiliza cifrado mediante algoritmo AES para bloquear nuestros archivos. Una vez atacados, añade la extensión .~xdata~ a los mismos. Así, un archivo PDF llamado ejemplo.pdf quedaría como ejemplo.pdf.~xdata~.
Archivos cifrados por XData
Además de infectar archivos locales, es capaz de atacar las unidades de red mapeadas y no-mapeadas. Cuando finaliza el proceso de cifrado, el ransomware mostrará la clásica ransom note cuyo nombre es: HOW_CAN_I_DECRYPT_MY_FILES.txt.
Ver información original al respecto en Fuente:
https://protegermipc.net/2017/05/25/ransomware-xdata-se-expande-mas-rapido-que-wannacrypt/