Criminales lanzan servicio web para descifrar archivos afectados con CryptoLocker

Publicado el 12 noviembre 2013 ¬ 16:45 pmh.mscComentarios desactivados en Criminales lanzan servicio web para descifrar archivos afectados con CryptoLocker

Este fin de semana, ha sido subido a Internet un supuesto servicio que, ante el pago de una suma de dinero, ofrece el envío de una herramienta para la recuperación de los archivos cifrados con CryptoLocker. Dado que muchos usuarios han sufrido la inutilización de sus archivos importantes, podrían ver en este servicio una luz de esperanza ante la pérdida total de la información. Sin embargo, ¿es esto posible? ¿Conviene realizar el pago? En este post analizamos la situación.

CryptoLocker es una amenaza informática que ha ganado mucha fama en los últimos meses debido a sus capacidades maliciosas. Este tipo de malware cifra los archivos en la computadora de una víctima, solicitando el pago de un rescate para poder lograr el acceso a ellos nuevamente. Si bien en este blog hemos analizado las ventajas de cifrar nuestra propia información para protegerla ante intrusos, si ella es cifrada por cibercriminales y no tenemos acceso a la clave de cifrado, los datos podrían perderse para siempre. Ese es justamente el principio bajo el cual opera CryptoLocker. Luego de que el usuario ha sido infectado y se han cifrado sus archivos, este malware le da al usuario unos días para realizar el pago del rescate. Pasado este tiempo, los cibercriminales aseguran que dejarán de almacenar la clave privada de cifrado, volviéndose la información irrecuperable para siempre. De igual forma, si el código malicioso es eliminado de la computadora, los archivos permanecen cifrados y el problema persiste.

Bajo estos supuestos, desde hace unos días está disponible en la web un servicio para recuperar la clave ofrecido por los mismos cibercriminales que crearon esta amenaza. Según lo que se observa en el sitio web, se pide algún archivo que se encuentre cifrado para realizar la búsqueda de la clave privada en la base de datos:

toweb.png” target=”_blank”>http://blogs.eset-la.com/laboratorio/wp-content/uploads/2013/11/cryptoweb.png

 

Resulta curioso cómo los cibercriminales han implementado un esquema similar al de atención al cliente para sus víctimas: luego de que se ha subido el archivo, se ofrece un número de orden con el cual se tiene acceso al estado del “pedido”. Allí se muestra información acerca de la orden creada y la clave pública de cifrado correspondiente al usuario. Para obtener la clave privada se solicita el pago de 10 bitcoins (alrededor de 2200 dólares), un precio bastante elevado si se tiene en cuenta que el precio original solicitado en el momento de la infección es de 2 bitcoins (450 dólares). A continuación se muestra un ejemplo de la pantalla de estado de una orden, obtenido del post de BleepingComputer:

tolocker-orden-encontrada.jpg” target=”_blank”>http://blogs.eset-la.com/laboratorio/wp-content/uploads/2013/11/cryptolocker-orden-encontrada.jpg

Al igual que en el momento de la infección, no existe ninguna garantía de que al realizar el pago del rescate los archivos podrán ser recuperados. A partir de esto se desprende la principal conclusión ante este tipo de situaciones: ¡No realices el pago! Este servicio web no es un servicio profesional o una ayuda por parte de expertos; es un medio por el cual los cibercriminales realizan delitos de extorsión. Además, dado que la recuperación solamente es posible con la clave privada, y ella está en posesión de los cibercriminales, no confíes en otros servicios de terceros; nadie tiene la solución mágica. Puede que no recuperes nunca tus archivos, pero asegúrate de tomar las medidas necesarias para que no te ocurra nuevamente en el futuro. En primer lugar, se recomienda realizar copias de seguridad de nuestros datos importantes: si le ocurre algo a los archivos, se puede acudir a las copias. En segundo lugar, es necesario contar con una solución de seguridad con capacidad de detección proactiva, que evite la ejecución de este tipo de amenazas en el equipo; los productos de ESET detectan este tipo de malware como Win32/Filecoder.BQ.,

tolocker/” target=”_blank”>Fuente
Así mismo, Kaspersky lo detecta como Trojan-Ransom.Win32.Blocker.cmkv y McAfee como Ransom-FCW

El preanalisis de virustotal de este malware, ofrece este informe:
MD5 0204332754da5975b6947294b2d64c92
SHA1 a4c60f419c5aa760db9904a59c8d79fce2636d68
SHA256 2163570f047cefc466c0ca370e56b6fbb770c4f71603b2353c1b6fd8e482ced8
File size 749.0 KB ( 766976 bytes )
SHA256: 2163570f047cefc466c0ca370e56b6fbb770c4f71603b2353c1b6fd8e482ced8
Nombre: W32.Cryptolocker.exe
Detecciones: 40 / 47
Fecha de análisis: 2013-11-11 09:24:57 UTC ( hace 1 día, 5 horas )
Resultado  Actualización
Agnitum  Trojan.Blocker!ezJehRimrng  20131110
AhnLab-V3  Trojan/Win32.Agent  20131111
AntiVir  TR/Ransom.Blocker.cmkv  20131111
Antiy-AVL  Trojan/Win32.Blocker  20131107
Avast  Win32:Ransom-AQH [Trj]  20131111
AVG  Generic35.EMA  20131110
Baidu-International   20131111
BitDefender  Trojan.GenericKD.1324664  20131111
Bkav  W32.CryptoLocker.Trojan  20131111
ByteHero   20131111
CAT-QuickHeal  Ransom.Crilock.B3  20131111
ClamAV  Win.Trojan.Bublik-354  20131111
Commtouch  W32/Trojan.DWSP-5399  20131111
Comodo  TrojWare.Win32.Agent.tnei  20131111
DrWeb  Trojan.Inject1.29510  20131111
Emsisoft  Trojan-Ransom.Win32.CriLock (A)  20131111
ESET-NOD32  Win32/Filecoder.BQ  20131110
F-Prot   20131111
F-Secure  Trojan.GenericKD.1324664  20131111
Fortinet  W32/Blocker.CMKV!tr  20131111
GData  Trojan.GenericKD.1324664  20131111
Ikarus  Trojan.Win32.Crilock  20131111
Jiangmin  Trojan/Win32.crypt.qsst  20131111
K7AntiVirus  Trojan  20131108
K7GW  Trojan  20131108
Kaspersky  Trojan-Ransom.Win32.Blocker.cmkv  20131111
Kingsoft  Win32.Heur.KVMF58.hy.(kcloud)  20130829
Malwarebytes  Trojan.Ransom  20131111
McAfee  Ransom-FCW  20131111
McAfee-GW-Edition  Ransom-O  20131111
Microsoft  Trojan:Win32/Crilock.B  20131111
MicroWorld-eScan  Trojan.GenericKD.1324664  20131111
NANO-Antivirus   20131111
Norman  Filecoder.DD  20131110
nProtect  Trojan/W32.Blocker.766976  20131110
Panda  Trj/Dtcontx.H  20131110
Rising   20131111
Sophos  Troj/Ransom-ACP  20131111
SUPERAntiSpyware   20131110
Symantec  Trojan.Ransomcrypt.F  20131111
TheHacker  Trojan/Filecoder.bq  20131111
TotalDefense   20131108
TrendMicro  TROJ_CRILOCK.AF  20131111
TrendMicro-HouseCall  TROJ_CRILOCK.AF  20131111
VBA32  Hoax.Blocker  20131111
VIPRE  Trojan.Win32.Generic!BT  20131111
ViRobot  Trojan.Win32.S.Ransom.766976  20131111
Recordar que si se ha sufrido este ataque unicamente se recomienda recuperar la informacion a partir de la copia de seguridad, el pago especialmente a terceros es indeseable e inseguro

saludos

ms, 12-11-2013

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies