lunes, 2 de febrero de 2015

CTB-Locker Versión I y II

Introducción
Hay ciertos software maliciosos que al infectar nuestro equipo le da al intruso la capacidad de bloquear la PC u ordenador desde una ubicación remota y cifrar nuestros archivos privándonos del control de toda la información y datos almacenados. Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate.
Este tipo de malware se denomina RANSONWARE. Normalmente se transmiten tanto como un troyano que como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o una vulnerabilidad de software. Esto ha ido creciendo de manera exponencial desde el 2013, infectando a plataformas como Android, Microsoft, Symbian y ahora S.O de Apple.


CTB-Locker
CTB-Locker es un ransomware que en la ejecución cifra ciertos tipos de archivos presentes en el sistema del usuario. CTB-Locker pertenece a una familia de malware que cifra los archivos del usuario disponibles en el sistema y exige al usuario a pagar una cantidad de rescate para recuperar los archivos. CTB es un acrónimo de Curve Tor Bitcoin. Curve se refiere al hecho de que el malware utiliza cifrado de curva elíptica, que según el autor es el equivalente de RSA-cifrado con una clave de 3072 bits.


Infección y vector de propagación
CTB-Locker, aparece la primera vez en julio del 2014 y la segunda versión en enero del 2015.
El malware se propaga a través de correos electrónicos no deseados (SPAM), viene con un archivo adjunto en forma de un archivo .zip.  o bien dentro de otro archivo .zip, que contiene el programa de descarga de CTB-Locker.
Los correos electrónicos no deseados pueden ser similares a las siguientes capturas








Los mensajes de spam se dirigen en su mayoría a bancos e instituciones financieras, a pesar de que las infecciones pueden ocurrir en cualquier parte debido a los métodos utilizados en la propagación.
Hasta el momento, los nombres de los archivos adjuntos han sido:

·        malformed.zip
·        plenitude.zip
·        inquires.zip
·        simoniac.zip
·        faltboat.zip
·        incurably.zip
·        payloads.zip

·        dessiatine.zip



Los temas (contenido del asunto) utilizados en la campaña de spam pueden ser nombrados como uno de los siguientes:

·        [Fax server] +07909 546940
·        copy from +07540040842
·        Message H4H2LC68B7167E4F4
·        New incoming fax message, S8F8E423F9285C5
·        Incoming fax from +07843-982843
·        [Fax server]:+07725-855368
·        Fax ZC9257943991110
·        New fax message from +07862-678057


Hemos tenidos algunos casos en donde en vez de venir un archivo ZIP adjunto, viene un archivo con extensión SCR, que al ser convocado, intenta descargar el malware desde algunas direcciones IP. Si bien se puede bloquear esas direcciones IP, las mismas pueden mutar o aparecer nuevas, por o cual, no es un método eficiente de evitar la infección.

Mitigación y prevención
Para evitar ser víctima del malware, protéjase de la siguiente manera:

1) Antivirus: contar con una solución de antivirus instalado en su ordenador y que el mismo se encuentre actualizado.
2) Actualizaciones: mantenga actualizado de fixes y parches su S.O, sin importar cual sea la plataforma.
3) Boletines: verifique que recomendaciones emite el fabricante para protegerse de este malware.
4) Descargas: no descargue archivos de sitios que no son de confianza, evite sobre manera de bajar software o música de sitios no legales.
5) Correo: no abra archivos adjuntos recibidos por personas desconocidas y se alguna persona de confianza le ha enviado algún archivo con extensión ZIP o SCR y asunto en inglés, valide con el emisor si efectivamente el le ha enviado el correo.
6) Backups: realice backups de su información.
7) Telefonos y Tablets: tenga los mismos recaudos que en la PC, ya que también son víctimas del malware.
8) Microsoft: en el 2001, Microsoft emitió una KB (KB 310791) que permite hacer ajustes de seguridad sobre el S.O. Este es muy útil, para evitar una infección. Acceder a la KB desde aquí. A su vez, puede instalar y configurar el EMET 5.1, que bloqueará cualquier intento de modificación sobre los svhost.exe. Para bajar el EMET, visite este sitio.
9) Servidores Terminal Server: restrinja y ajustes las políticas de seguridad, para que un usuario no afecte al servidor o sistemas de archivos del mismo.

Síntomas
En ejecución, CTB-Locker generalmente se copia en la carpeta %temp% con un nombre aleatorio (7 caracteres), tales como:

C: \ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ fzjujkn.exe

CTB-Locker inyecta el código malicioso en svchost.exe y el código inyectado a su vez ejecuta el archivo bajado en la ubicación %temp%. El malware crea una tarea programada (<7 caracteres aleatorios> .job) para ejecutarlo al iniciar el sistema, por ejemplo: 

C:\WINDOWS\Tasks\cderkbm.job

También crea un mutex llamado al azar para asegurar que sólo se está ejecutando una instancia de malware a la vez. Esto inyecta código en svchost.exe, luego cifrar los archivos con las siguientes extensiones:
ü  Pdf
ü  .xls
ü  .ppt
ü  .txt
ü  .py
ü  .wb2
ü  .jpg
ü  .odb
ü  .dbf
ü  .md
ü  .js
ü  .pl, etc.

Después de que los archivos han sido cifrados con éxito por el malware, una ventana emergente aparecerá en la pantalla, con el tiempo de cuenta regresiva de 96 horas para obtener los archivos descifrados y algunos otros detalles, como se muestra a continuación:


Al hacer clic en el botón VIEW (ver), el usuario infectado puede ver la lista de archivos que han sido cifrados y otros detalles acerca de cómo hacer un pago y obtener los archivos descifrados de nuevo.

Recomendamos estar atentos y difundir esta información entre los usuarios de ordenadores, con el fin de evitar que sigan apareciendo víctimas que pierden sus archivos. Por último, no pague, por que nadie le asegure que se le enviará la solución del cifrado de archivos.

Hasta la próxima.
Fuentes: Mcafee y Microsoft.


No hay comentarios.: