Una de las formas más activas de ransomware se ha actualizado con un nuevo medio de encriptación de datos para garantizar que siga siendo lo más dañino posible.

El ransomware GandCrab apareció por primera vez en enero de este año y rápidamente se convirtió en una de las formas más populares del malware de bloqueo de archivos. Se vende a bajo precio en la Darkweb oscura como ‘malware como servicio’ y regularmente recibe actualizaciones de sus desarrolladores.

La última versión del ransomware  contiene lo que los investigadores de Fortinet describen como “una revisión en términos de la estructura del código”, y algunos trucos nuevos bajo la manga.

Uno de los mayores cambios en la versión 4 de GandCrab es que el mecanismo de cifrado pasó del “RSA-2048” a un cifrado de flujo “Salsa20” mucho más rápido, permitiendo que los archivos se cifren más rápidamente que antes. El mecanismo Salsa20 ya había sido implementado por el ransomware Petya.

Como en  las versiones anteriores del ransomware sigue comprobando si el sistema está en un país de habla rusa y, si este es el caso, no continuará encriptando los archivos. Esto, combinado con la forma en que se vende GandCrab en los foros de piratería rusa, apunta a que los autores probablemente sean de esta región del mundo.

Las víctimas de este  ransomware tienen cifrados sus archivos con una nueva extensión “.KRAB”.

El mecanismo de cifrado actualizado también permite que los archivos se cifren incluso si el usuario no está conectado a Internet, en comparación con las versiones anteriores necesarias para conectarse a su servidor de comando y control antes del cifrado de archivos.

Además de no requerir conectividad para cifrar archivos, el investigador de seguridad Kevin Beaumont señala que GandCrab ahora también se puede propagar a través de un exploit SMB, incluida la capacidad de poner en peligro las máquinas que ejecutan Windows XP y Windows Server 2003 de esta manera.

Joie Salvio, investigador principal de Fortinet en una publicación de su blog aconsejó a los usuarios que siempre sean extremadamente cautelosos con los archivos descargados de Internet, especialmente las aplicaciones crackeadas. No solo violan las leyes de propiedad intelectual, sino que también suponen un gran riesgo, especialmente para usuarios no capacitados.