Una nueva variante de la familia del ransomware Rakhni incluye la capacidad de decidir si infectar al sistema con ransomware o minería de criptomonedas.
El ransomware bloquea con cifrado el acceso a los archivos en tanto no sea pagado el rescate para descifrarlos. La minería de criptomonedas aprovecha el CPU del equipo para extraer monedas digitales.
El malware opera según la configuración del equipo con el propósito de hacer más rentable la infección.
Se propaga a través de correo electrónico con un archivo Word adjunto, que incluye un icono de PDF y al hacer click en él se ejecuta el malware.
La decisión de infectar con ransomware o el minero depende de la existencia de la carpeta %AppData%\Bitcoin en el equipo.
Si la carpeta Bitcoin existe, entonces el malware infecta con ransomware.
Si no existe la carpeta Bitcoin y el equipo tiene más de dos procesadores lógicos entonces el malware infecta con el minero de criptomonedas Monero (XMR), Monero Original (XMO) y Dashcoin (DSH), instalando además certificados raíz falsos supuestamente emitidos por Microsoft y Adobe para disfrazarlo como un proceso confiable.
Si no existe la carpeta Bitcoin y el equipo sólo tiene un procesador lógico entonces el malware descarga su componente gusano para copiarse en todas las computadoras de la red local con recursos compartidos.
Por el momento Rakhni dirige su acción a usuarios de Rusia, Kazajstán, Ucrania, Alemania e India, de acuerdo con el reporte de los investigadores de seguridad de Kaspersky.
Es recomendable mantener actualizado el software anti-virus, anti-malware, anti-ransomware, y anti-exploit. Mantener la práctica de respaldos de datos periódicos y en medios alternos. Y, por supuesto, desconfiar en correo electrónico sospechoso, no abrir archivos adjuntos ni hacer click en enlaces dentro de él.