Cryptolocker: el virus informàtic que xifra tots els teus arxius i et demana que paguis un rescat

Cryptolocker: el virus informàtic que xifra tots els teus arxius i et demana que paguis un rescat

IMPORTANT: Per evitar problemes com l’aquí descrit, et recomanem que no obris mai arxius adjunts en el correu que puguin ser dubtosos, i que facis còpies regularment dels teus arxius en discos durs externs amb connexió de xarxa i fins i tot que la còpia es trobi en un domicili diferent al de l’equip, i que el procés de còpia diària es faci a través d’internet.

crypto-main

“El CriptoLocker és una família recent de ransoms el model de negoci del qual (si, el malware és un negoci) es basa en l’extorsió a l’usuari. Un altre malware “famós” que també es basa en l’extorsió és el virus de la policia, amb el qual havia de pagar per poder recuperar l’equip. Però a diferència d’aquest, el CryptoLocker es basa en el segrest dels documents de l’usuari i demanar un rescat per ells (amb temps límit per a poder recuperar-los). 

 

Instal·lació del malware en l’equip

El CryptoLocker utilitza tècniques d’enginyeria social, per aconseguir que sigui el propi usuari qui l’executi. Concretament la víctima rep un correu, simulant provenir d’una empresa de logística, que porta adjunt un ZIP amb contrasenya.

Quan l’usuari obre el zip introduint la contrasenya que li ve al correu electrònic, creu que a dins hi ha un fitxer PDF i en obrir el fals PDF és quan executa el troià. CryptoLocker s’aprofita de la política de Windows d’ocultar les extensions per defecte, de manera que l’usuari és enganyat “gràcies” a aquesta característica de Windows.

Pel que fa l’usuari (la víctima) executa el Troyano aquest s’instal·la com a resident en l’equip:

  • Realitza una còpia de si mateix en una ruta del perfil de l’usuari (AppData, LocalAppData)
  • Crea una entrada en els Autoruns per assegurar l’execució al reinici.
  • Executa dos processos de si mateix fitxer. Un és el principal i un altre per protegir el procés original davant de tancaments.

Xifrat dels fitxers en disc

El troià genera una clau simètrica aleatòria per cada fitxer que va a xifrar, i xifra el contingut del fitxer amb AES utilitzant aquesta clau. Després xifra la clau aleatòria amb un algoritme asimètric de clau pública-privada (RSA) amb claus que superen els 1024 bits de longitud (hem vist mostres que fan servir claus de 2048 bits) i l’afegeix al fitxer xifrat. Aquest procediment garanteix que només el posseïdor de la clau privada del RSA, serà capaç d’obtenir la clau aleatòria amb què s’ha xifrat el fitxer. A més, com es realitza una operació de sobreescriptura s’impedeix la recuperació del fitxer mitjançant tècniques forenses.

El primer que fa el troià un cop s’executa en l’equip de la víctima és obtenir la clau pública (PK) d’un servidor C & C. Per aconseguir connectar al seu servidor, el troià incorpora un algoritme conegut com Mersenne Twister per generar noms de dominis aleatoris (DGA). Aquest algoritme utilitza com a llavor la data del dia i pot generar fins a 1000 dominis diferents cada dia, d’una longitud fixa.

Una vegada que el troià ha aconseguit descarregar-se la PK, l’emmagatzema en la següent ruta de registre HKCUSoftwareCryptoLockerPublic Key i comença el xifrat dels fitxers en tots els discs durs de l’equip i rutes de xarxa en què l’usuari tingui permisos.

El crytolocker no xifra tots els fitxers que troba, sinó que s’especialitza en xifrar els fitxers no executables que compleixin amb la llista d’extensions que incorpori la mostra

A més, el CrytoLocker guarda la ruta de cada arxiu xifrat en aquesta clau de registre: HKEY_CURRENT_USERSoftwareCryptoLockerFiles

Quan el troià ha acabat de xifrar tots els fitxers que té al seu abast, mostra el missatge de la imatge que hem posat a l’inici d’aquest article, en el qual demana el rescat, donant un temps màxim per pagar abans de destruir la clau privada que guarda l’autor.

Com a curiositat, el malware no sol·licita la mateixa quantitat de diners a tot el món, sinó que incorpora la seva pròpia taula de conversió de divises.

Conclusions

El mètode d’infecció que utilitza és la transmissió per email mitjançant l’ús d’enginyeria social. Pel que el nostre consell és extremar les precaucions davant emails de remitents no esperats, especialment per a aquells que inclouen fitxers adjunts. Desactivar la política de Windows que amaga les extensions conegudes també ajudarà a reconèixer un atac d’aquest tipus.

A més d’això, recordem que és molt important tenir un sistema de backup dels nostres fitxers crítics, el que ens garanteix que no només en cas d’infecció puguem mitigar el dany causat pel malware, sinó que també ens cobrim abans problemes del maquinari.

Si no tenim un backup i ens hem infectat, no recomanem el pagament del rescat. Aquesta MAI hauria de ser la solució per recuperar els nostres fitxers, ja que converteix aquest malware en un model de negoci rendible, la qual cosa impulsarà el creixement i l’expansió d’aquest tipus d’atac.

Anàlisi del CrytoLocker realitzat per: Javier Vicente i Sergio Lara “

Font: Panda Security