Introducción
Hay
ciertos software maliciosos que al infectar nuestro equipo le da
al intruso la capacidad de bloquear
la PC u ordenador desde una ubicación remota y cifrar nuestros archivos privándonos del
control de toda la información y datos almacenados. Para desbloquearlo
el virus lanza una ventana emergente en la que nos pide el pago de un rescate.
Este tipo
de malware se denomina RANSONWARE. Normalmente
se transmiten tanto como un troyano que como un gusano, infectando el sistema operativo, por
ejemplo, con un archivo descargado o una vulnerabilidad de software. Esto ha
ido creciendo de manera exponencial desde el 2013, infectando a plataformas
como Android, Microsoft, Symbian y ahora S.O de Apple.
CTB-Locker
CTB-Locker
es un ransomware que en la ejecución cifra ciertos tipos de archivos presentes
en el sistema del usuario. CTB-Locker pertenece a una familia de malware que cifra los archivos del usuario disponibles en el sistema y exige al usuario a pagar una cantidad de rescate para recuperar los archivos. CTB es un acrónimo de Curve Tor Bitcoin. Curve se refiere al hecho de que el malware utiliza cifrado de curva elíptica, que según el autor es el equivalente de RSA-cifrado con una clave de 3072 bits.
Infección y vector de propagación
CTB-Locker,
aparece la primera vez en julio del 2014 y la segunda versión en enero del
2015.
El
malware se propaga a través de correos electrónicos no deseados (SPAM), viene
con un archivo adjunto en forma de un archivo .zip. o bien dentro de
otro archivo .zip, que contiene el programa de descarga de CTB-Locker.
Los correos
electrónicos no deseados pueden ser similares a las siguientes capturas
Los
mensajes de spam se dirigen en su mayoría a bancos e instituciones financieras,
a pesar de que las infecciones pueden ocurrir en cualquier parte debido a los
métodos utilizados en la propagación.
Hasta el
momento, los nombres de los archivos adjuntos han sido:
·
malformed.zip
·
plenitude.zip
·
inquires.zip
·
simoniac.zip
·
faltboat.zip
·
incurably.zip
·
payloads.zip
·
dessiatine.zip
Los temas (contenido del asunto) utilizados en la campaña de spam pueden ser nombrados como uno de los
siguientes:
·
[Fax server] +07909 546940
·
copy from +07540040842
·
Message H4H2LC68B7167E4F4
·
New incoming fax message, S8F8E423F9285C5
·
Incoming fax from +07843-982843
·
[Fax server]:+07725-855368
·
Fax ZC9257943991110
·
New fax message from +07862-678057
Hemos tenidos algunos casos en donde en vez de venir un archivo ZIP adjunto, viene un archivo con extensión SCR, que al ser convocado, intenta descargar el malware desde algunas direcciones IP. Si bien se puede bloquear esas direcciones IP, las mismas pueden mutar o aparecer nuevas, por o cual, no es un método eficiente de evitar la infección.
Mitigación y prevención
Para evitar ser víctima del malware, protéjase de la siguiente manera:
1) Antivirus: contar con una solución de antivirus instalado en su ordenador y que el mismo se encuentre actualizado.
2) Actualizaciones: mantenga actualizado de fixes y parches su S.O, sin importar cual sea la plataforma.
3) Boletines: verifique que recomendaciones emite el fabricante para protegerse de este malware.
4) Descargas: no descargue archivos de sitios que no son de confianza, evite sobre manera de bajar software o música de sitios no legales.
5) Correo: no abra archivos adjuntos recibidos por personas desconocidas y se alguna persona de confianza le ha enviado algún archivo con extensión ZIP o SCR y asunto en inglés, valide con el emisor si efectivamente el le ha enviado el correo.
6) Backups: realice backups de su información.
7) Telefonos y Tablets: tenga los mismos recaudos que en la PC, ya que también son víctimas del malware.
8) Microsoft: en el 2001, Microsoft emitió una KB (KB 310791) que permite hacer ajustes de seguridad sobre el S.O. Este es muy útil, para evitar una infección. Acceder a la KB desde aquí. A su vez, puede instalar y configurar el EMET 5.1, que bloqueará cualquier intento de modificación sobre los svhost.exe. Para bajar el EMET, visite este sitio.
9) Servidores Terminal Server: restrinja y ajustes las políticas de seguridad, para que un usuario no afecte al servidor o sistemas de archivos del mismo.
Síntomas
En ejecución, CTB-Locker
generalmente se copia en la carpeta %temp% con un nombre aleatorio (7
caracteres), tales como:
C: \ DOCUME ~ 1 \ ADMINI ~ 1 \
LOCALS ~ 1 \ Temp \ fzjujkn.exe
CTB-Locker inyecta el código
malicioso en svchost.exe y el código inyectado a su vez ejecuta el archivo
bajado en la ubicación %temp%. El malware crea una tarea programada (<7
caracteres aleatorios> .job) para ejecutarlo al iniciar el sistema, por
ejemplo:
C:\WINDOWS\Tasks\cderkbm.job
También crea un mutex llamado al
azar para asegurar que sólo se está ejecutando una instancia de malware a la
vez. Esto inyecta código en svchost.exe, luego cifrar los archivos con las
siguientes extensiones:
ü Pdf
ü .xls
ü .ppt
ü .txt
ü .py
ü .wb2
ü .jpg
ü .odb
ü .dbf
ü .md
ü .js
ü .pl, etc.
Después de que los archivos han
sido cifrados con éxito por el malware, una ventana emergente aparecerá en la
pantalla, con el tiempo de cuenta regresiva de 96 horas para obtener los
archivos descifrados y algunos otros detalles, como se muestra a
continuación:
Al hacer clic en el botón VIEW (ver), el usuario infectado puede ver la lista de archivos que han sido cifrados y otros detalles acerca de cómo hacer un pago y obtener los archivos descifrados de nuevo.
Recomendamos estar atentos y difundir esta información entre los usuarios de ordenadores, con el fin de evitar que sigan apareciendo víctimas que pierden sus archivos. Por último, no pague, por que nadie le asegure que se le enviará la solución del cifrado de archivos.
Hasta la próxima.
Fuentes: Mcafee y Microsoft.
No hay comentarios.:
Publicar un comentario