CryptoLocker

CryptoLocker
Tipusransomware Modifica el valor a Wikidata
Versió inicial5 setembre 2013 Modifica el valor a Wikidata
Característiques tècniques
Sistema operatiuMicrosoft Windows Modifica el valor a Wikidata
Equip
Desenvolupador(s)Evgeniy Bogachev (en) Tradueix Modifica el valor a Wikidata

CryptoLocker és un ransomware tipus troià dirigit a ordinadors amb el sistema operatiu Windows que es va estendre a la fi de 2013. CryptoLocker es distribueix de diverses formes, una d'elles com a arxiu adjunt d'un correu electrònic i una altra, accedint a través del port remot 3389. Una vegada activat, el malware xifra certs tipus d'arxius emmagatzemats en discs locals i en unitats de xarxa emprant criptografia de clau pública RSA, guardant-se la clau privada en els servidors del malware. Realitzat el xifrat, mostra un missatge en pantalla, en el qual ofereix desxifrar els arxius afectats, si es realitza un pagament abans d'una data límit (a través de bitcoins o amb vals pre-pagament), i esmenta que la clau privada serà destruïda del servidor i que serà impossible recuperar-la si la data límit expira. Si això ocorre, el malware ofereix la possibilitat de desxifrar les dades a través d'un servei en línia proveït pels operadors del malware, amb un preu, en bitcoins, molt més alt. Tot i que el malware és fàcilment eliminat, els arxius romanen xifrats, la clau privada dels quals es considera gairebé impossible de desxifrar.

El creador de CryptoLocker va ser un rus de 31 anys, Evgeniy Bogachev, pel qual el FBI oferia una recompensa de tres milions de dòlars per qualsevol pista sobre el seu parador.

Mode d'operació

El virus CryptoLocker es propaga principalment com un arxiu adjunt des d'un correu electrònic aparentment inofensiu, simulant ser un correu d'una companyia legítima; o bé es descarrega en una computadora infectada amb un virus troià anterior, connectada a un botnet.[1] Un arxiu ZIP adjuntat al correu conté un arxiu executable, amb una icona i tipus d'arxiu que s'assemblen a un arxiu PDF, aprofitant l'ús per defecte de Windows d'ocultar l'extensió dels arxius, que permet ocultar l'extensió veritable, .EXE. En alguns casos, aquest arxiu pot contenir al troià Zeus, que al seu torn instal·la el CryptoLocker.[2][3][4]

Quan s'executa per primera vegada, una part s'instal·la a la carpeta Documents, amb un nom aleatori, i després, agrega una clau en el registre que fa que s'executi en encendre's la computadora. Després, intenta connectar-se amb un dels servidors de control designats; una vegada connectat, genera un parell de claus RSA de 2048-bits, i envia la clau pública a la computadora infectada.[2][5] Atès que el servidor designat pot ser un proxy local, que després pot ser derivat a uns altres (sovint en altres països), és difícil rastrejar-lo.[6][7]

Finalitzada la seva instal·lació, el malware comença el procés de xifrat dels arxius en discos locals, i en unitats de xarxes usant la clau pública, i registra cada arxiu xifrat en el registre de Windows. Solament xifra arxius amb certes extensions, les quals inclouen fitxers de Microsoft Office, OpenDocument, arxius de AutoCAD, imatges i altres documents.[3] Finalitzat el xifrat d'arxius, el malware mostra un missatge en pantalla informant que s'han xifrat els arxius, i exigeix per a desxifrar els arxius, el pagament de 300 dòlars americans o euros a través d'un val pre-pagament anònim (per exemple, els de MoneyPak o Ukash) o de 0,5 bitcoins. El pagament ha de ser realitzat dins de 72 o 100 hores, en cas contrari, la clau privada en el servidor serà destruïda, i «mai ningú serà capaç de recuperar els arxius». Si el pagament és realitza, l'usuari pot descarregar el programa de desxifrat, que té pre-carregada la clau privada de l'usuari. Symantec va estimar que el 3% dels seus usuaris infectats amb CryptoLocker van decidir pagar, encara que alguns usuaris infectats van reclamar que els seus arxius no van ser desxifrats, tot i que havien pagat.

Al novembre de 2013, els operadors de CryptoLocker van llançar un servei en línia que diu que permet als usuaris desxifrar els seus arxius sense usar el programa ofert per CryptoLocker, i que també permet comprar la clau privada de desxifrat després d'haver expirat la data límit. El procés consisteix en pujar com a mostra un arxiu xifrat al lloc web, i esperar que el servei trobi una coincidència en els seus registres, que pot trigar 24 hores. Si troba una coincidència, el lloc web ofereix la possibilitat de realitzar el pagament; si la data límit ja ha expirat, el cost s'incrementa a 10 Bitcoin (un preu aproximat de US$ 15000).[8][9]

Mitigació

Tot i que els programes antivirus estan dissenyats per detectar tals amenaces, aquests potser no podrien detectar al CryptoLocker, o tal vegada ho facin quan està xifrant arxius, o fins i tot quan ja ha finalitzat. Això normalment succeeix quan es distribueix una versió nova del malware (un atac de dia zero).[10] Atès que el procés de xifrat triga un temps, si el malware és eliminat en primera instància, limitaria el seu dany.[11][12] Alguns experts suggereixen prendre certes mesures preventives, com usar aplicacions que no permetin l'execució del codi de CryptoLocker.[11]

CryptoLocker també intenta esborrar les còpies de seguretat de Windows abans de xifrar els arxius. A causa de la longitud de la clau usada pel malware, es considera gairebé impossible d'obtenir-la usant un atac de força bruta sense realitzar el pagament; un mètode similar utilitzat pel cuc Gpcode.AK, el qual emprava una clau de 1024-bits, que en aquell temps es creia que era impossible de trencar sense emprar computació distribuïda.[13][14]

Actualment el CERTSI posseeix un servei gratuït de recuperació: {{format ref}} https://www.certsi.es/ A la fi d'octubre de 2013, l'empresa en seguretat informàtica Kaspersky Lab va anunciar la creació d'un DNS sinkhole, que permet bloquejar els dominis usats per CryptoLocker.[15]

Vegeu també

Referències

  1. Security Week: Cryptolocker Infections on the Rise; US-CERT Issues Warning, 19 November 2013
  2. 2,0 2,1 Abrams, Lawrence. «CryptoLocker Ransomware Information Guide and FAQ». Bleeping Computer. [Consulta: 25 octubre 2013].
  3. 3,0 3,1 Eliminar y recuperar los fichero por el virus CryptoLocker en You Tube.
  4. Eliminar y recuperar los fichero por el virus CryptoLocker en You Tube.
  5. «You’re infected—if you want to see your data again, pay us $300 in Bitcoins». Ars Technica. [Consulta: 23 octubre 2013].
  6. «Destructive malware "CryptoLocker" on the loose - here's what to do». Naked Security. Sophos. [Consulta: 23 octubre 2013].
  7. «CryptoLocker attacks that hold your computer to ransom». The Guardian. [Consulta: 23 octubre 2013].
  8. «CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service». NetworkWorld. Arxivat de l'original el 2013-11-05. [Consulta: 5 novembre 2013].
  9. «CryptoLocker creators try to extort even more money from victims with new service». PC World. [Consulta: 5 novembre 2013].
  10. The Yuma Sun, on a CryptoLocker attack: "... was able to go undetected by the antivirus software used by the Yuma Sun because it was Zero-day malware"
  11. 11,0 11,1 Leyden, Josh. «Fiendish CryptoLocker ransomware: Whatever you do, don't PAY». The Register. [Consulta: 18 octubre 2013].
  12. Cannell, Joshua. «Cryptolocker Ransomware: What You Need To Know». Malwarebytes Unpacked. Arxivat de l'original el 2016-03-14. [Consulta: 19 octubre 2013].
  13. Naraine, Ryan. «Blackmail ransomware returns with 1024-bit encryption key». ZDnet, 06-06-2008. Arxivat de l'original el 2008-08-03. [Consulta: 25 octubre 2013].
  14. Lemos, Robert. «Ransomware resisting crypto cracking efforts». SecurityFocus, 13-06-2008. [Consulta: 25 octubre 2013].
  15. «Cryptolocker Wants Your Money!». SecureList. Kapersky. Arxivat de l'original el 2013-10-29. [Consulta: 30 octubre 2013].

Enllaços externs

  • Malicious Software a Curlie
  • Further Reading: Research Papers and Documents about Malware on IDMARCH (Int. Digital Media Archive)
  • Advanced Malware Cleaning – a Microsoft video