Juan Carlos Montejo
Lejanos quedan los tiempos en los que los virus hacían saltar una pelotita por la pantalla o aparecía de repente un 'comecocos', que te borraba la última línea escrita en la pantalla.
Fuente: Antimilitaristas
Los virus actuales se dedican a robar la información bancaria, de usuarios y contraseñas de redes sociales y a cifrar todos los archivos de las unidades disponibles y así pedirte dinero para que te den la clave necesaria para descifrar esos archivos.
De estos últimos virus voy a hablar.
Cryptolocker
El virus más significativo de este tipo es el Cryptolocker.
Es un virus que cifra, utilizando criptografía fuerte asimétrica, todos los archivos que encuentra en el sistema infectado, que tengan extensiones de ficheros no ejecutables (o sea, archivos de datos, no programas, que pueden ser fácilmente sustituidos).
Los métodos que utiliza están tan pensados y son tan seguros que incluso un departamento de policía de EE.UU. cede ante la extorsión de Cryptolocker.
Instalación en el equipo
El CryptoLocker utiliza técnicas de ingeniería social, para conseguir que sea el propio usuario quien lo ejecute. Concretamente la victima recibe un correo, simulando provenir de una empresa de logística, que lleva adjunto un archivo ZIP con contraseña.
Fuente: www.taringa.net
Cuando el usuario abre el zip, introduciendo la contraseña que le viene en el correo, cree que dentro hay un fichero PDF y al abrir el falso PDF es cuando ejecuta el troyano. CryptoLocker se aprovecha de la política de Windows de ocultar las extensiones por defecto, de tal forma que el usuario es engañado “gracias” a esta característica de Windows.
Fuente: geeks.ms
En cuanto el usuario (la víctima) ejecuta el Troyano, este se instala como residente en el equipo:
Realiza una copia de sí mismo en una ruta del perfil del usuario (AppData, LocalAppData)
Crea una entrada en el autorun para asegurarse la ejecución al reinicio del sistema
Ejecuta dos procesos del mismo fichero: Uno es el principal y otro para proteger el proceso original frente a cierres (todo pensado, como vemos).
Cifrado de los ficheros en disco
El troyano genera una clave simétrica aleatoria por cada fichero que va a cifrar, y cifra el contenido del fichero con AES utilizando esta clave. Después cifra la clave aleatoria con un algoritmo asimétrico de clave pública-privada (RSA) con claves que superan los 1024 bits de longitud (hemos visto muestras que utilizan claves de 2048 bits) y la añade al fichero cifrado. Este procedimiento garantiza que solo el poseedor de la clave privada del RSA, será capaz de obtener la clave aleatoria con la que se ha cifrado el fichero. Además, como se realiza una operación de sobrescritura se impide la recuperación del fichero mediante técnicas forenses.
El crytolocker no cifra todos los ficheros que encuentra, sino que se especializa en cifrar los ficheros no ejecutables que cumplan con la lista de extensiones que incorpore la muestra.
Cuando el troyano ha terminado de cifrar todos los ficheros que tiene a su alcance, muestra el siguiente mensaje en el que pide el rescate, dando un tiempo máximo para pagar antes de destruir la clave privada que guarda el autor.
Como curiosidad, el malware no solicita la misma cantidad de dinero a todo el mundo, sino que incorpora su propia tabla de conversión de divisas (qué detalle…).
Consejos para no infectarse
Extremar las precauciones ante correos de remitentes que incluyen ficheros adjuntos.
Mostrar las extensiones de archivo ocultas: por defecto, Windows oculta las extensiones de archivo conocidas. Aprovechándose de eso, una de las formas en las que se propaga Cryptolocker es a través de archivos con la extensión “.PDF.EXE”. Activando la posibilidad de ver la extensión completa de un archivo, puede ser más fácil detectar cuándo se trata de alguno sospechoso.
Desconectarse de Internet: en caso de ejecutar un archivo que se sospecha puede ser ransomware, si todavía no apareció la típica pantalla de bloqueo pidiendo el rescate y si se actúa con rapidez, es posible detener la comunicación con el Centro de Comando y Control antes de que el malware termine de cifrar los archivos. Si se desconecta el equipo de la red de forma inmediata, es posible mitigar el impacto del ransomware.
Deshabilitar cualquier usuario por defecto que no esté en uso dentro del sistema.
Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. De existir esta protección, sería más complejo para la infección ejecutarse exitosamente.
Es muy importante tener un sistema de copias de seguridad de nuestros ficheros críticos (al menos personales y de configuración), lo que nos garantiza que no solo en caso de infección podamos mitigar el daño causado por el malware, sino que también nos cubrimos antes problemas del hardware.
Si no tenemos una copia de seguridad y nos hemos infectado, no recomiendo el pago del rescate. Esta NUNCA debería ser la solución para recuperar nuestros ficheros, ya que convierte este malware en un modelo de negocio rentable, lo que impulsará el crecimiento y la expansión de este tipo de ataque.
En una siguiente entrega explicaré métodos más potentes para prevenir la infección, otros para limpiar el sistema e incluso alguno que, a veces, permite el descifrado de los archivos.
Continuará…
