Una nueva variante del programa malicioso llamado Bitcrypt cifra archivos y solicita a sus víctimas pagos con bitcoin para descifrarlos, se distribuye a través de un troyano que, además, vacía las carteras.

BitCrypt es parte de una nueva categoría de piezas de malware conocidas como ransomware, las cuales intentan extorsionar a las víctimas a cambio de descifrar sus archivos personales.

Una de las primeras variantes de BitCrypt apareció en febrero y se cree que su desarrollo fue inspirado en el éxito que tuvo un programa similar llamado Cryptolocker, el cual infectó a más de 250 mil computadoras en el último trimestre de 2013.

Similar a Cryptolocker, una vez que BitCrypt se instala en el sistema cifra una gran cantidad de archivos del sistema, como documentos, imágenes, archivos en general, aplicaciones y bases de datos. Las víctimas pierden acceso no sólo a sus archivos personales, sino también a proyectos de trabajo, en caso de no tener respaldos externos.

A pesar de que el tipo de cifrado en la primer versión de BitCrypt era RSA de 1024 bits, investigadores de seguridad de la compañía Airbus Defence and Space han encontrado fallos en la implementación que les permitieron crear un programa que podía descifrar los archivos afectados.

Sin embargo, de acuerdo a algunos investigadores de Trend Micro, una versión mejorada del malware apareció este mes y es probable que haya sido diseñada para una distribución masiva. Esta nueva versión añade la extensión .bitcrypt2 a los archivos cifrados y puede mostrar un mensaje de extorsión hasta en 10 idiomas diferentes, como inglés, francés, alemán, ruso, italiano, español, portugués, japonés, chino y árabe.

Una vez que esta variante infecta una computadora, cambia el fondo de pantalla a una imagen que dice: "Your computer was infected by BitCrypt v2.0 cryptovirus", que en español se traduce como "Tu computadora fue infectada por el criptovirus BitCrypt v2.0" y le solicita a la víctima leer el archivo Bitcrypt.txt para recibir más instrucciones, según publicaron los investigadores de Trend Micro ayer.

El archivo de texto contiene información de como acceder a un sitio web escondido en la red Tor, para poder obtener un programa especial de descifrado, pues cada infección es única. El sitio web les solicita a los usuarios un número de identificación único y un pago de 0.4 bitcoin, unos $234, 839 dólares a la tasa de cambio actual, a cambio de poder obtener la herramienta de descifrado.