Anubi: así funciona el nuevo ransomware para Windows

El ransomware es la amenaza de malware ‘de moda’ en los últimos meses. Este tipo de malware infecta un dispositivo y se dedica a cifrar archivos sensibles para que sean inaccesibles. Y una vez que ha hecho esto, sencillamente lanza una alerta emergente al usuario dándole instrucciones para pagar un ‘secuestro’ –generalmente en una cripto divisa-. Hay formas de evitar el ransomware, como mantener una copia de seguridad actualizada en el dispositivo, pero Anubi tiene una particularidad: la persistencia.

Anubi es una de las amenazas de ransomware más ‘nuevas’. Este malware, de la familia que comentábamos anteriormente, infecta ordenadores Windows a través de diversas fuentes de Internet, y ataca de forma específica contra carpetas ‘sensibles’ del sistema. Como ocurre con cualquier otra amenaza de ransomware, cuando infecta un ordenador lo notaremos porque cambia la extensión de archivo a una suya, específica, y aplica un cifrado para evitar que podamos ejecutar con normalidad tales ficheros almacenados en el equipo. Ahora bien, el caso de Anubi es diferente, porque antes de todo ello modifica el registro de Windows.

Anubi: un nuevo ransomware ‘persistente’ que circula por Internet en busca de ordenadores Windows

En el caso de Anubi, no sólo se atacan ficheros internos y carpetas completas, sino también unidades externas de almacenamiento. Discos duros o memorias extraíbles están también en el punto de mira de este ransomware, que únicamente actúa en contra de ordenadores Windows. La clave en el caso de Anubi, su diferencia respecto a la mayoría de formas de ransomware, está en que antes de atacar cualquier fichero ataca al registro de Windows para alcanzar la ‘persistencia’. Es decir, lograr que se ejecute él solo en cada inicio de sesión del sistema. De esta forma, aunque tuviéramos una copia de seguridad nos será algo más difícil deshacernos de la amenaza y recuperar los ficheros atacados.

Relacionado: Nuevo malware en Android que no solo encripta los archivos, también cambia el PIN de acceso

Nuestros compañeros de RedesZone explican, respecto a Anubi, que es fundamental aislar los equipos infectados para evitar problemas encadenados en redes, y que una ‘ventaja’ que ofrece este ransomware a los usuarios es que es realmente lento. Es decir, que podemos encontrarnos con un archivo cifrado y mostrando la extensión de este ransomware, y pasarán varias horas hasta que se infecte el resto del equipo. Por lo tanto, si somos rápidos detectando la amenaza es posible que podamos minimizar el impacto negativo del ransomware sobre nuestros ficheros.

Fuente: adslzone