CryptoFortress, alumno aventajado de TorrentLocker

0

CryptofortressMalas noticias: un nuevo ransomware denominado CryptoFortress ha sido recinetemente descubierto por el investigador de seguridad Kafeine. Hablamos de lo que se muestra como una copia modificada del recientemente famoso TorrentLocker.

Una copia, si, pero hay más

Cuando analizamos ambas amenazas y comprobamos el alcance de cada una de ellas, podemos ver que CryptoFortress y TorrentLocker no poseen apenas diferencias apreciables. Sin embargo, no debemos confiarnos del todo, debido a que esta nueva amenaza cuenta con una nueva funcionalidad: CryptoFortress es capaz incluso de cifrar los archivos a través de unidades de red, incluso sin estar estas mapeadas con letra de unidad.

Ransomware CryptoFortress

Normalmente, cuando un ransomware cifra –por favor, no se dice encriptar– nuestros datos, lo hace mediante un reconocimiento previo de las letras de unidad en el ordenador (debe saber antes qué cifrar). Después empieza la operación de cifrado. Por eso, las unidades de almacenamiento en red situadas en nuestra red local están a salvo si no hemos asignado una letra de unidad a las mismas (esto es, las hemos “mapeado”).

CryptoFortress, nuevo dolor de cabeza de los administradores

Por desgracia, CryptoFortress nos trae la mala noticia de que ahora, ciertos ransomwares ya son capaces de intentar enumerar las unidades abiertas y compartidas mediante SMB , cifrando el contenido de las mismas.

Como se puede apreciar en la imagen inferior, CryptoFortress es capaz de cifrar el documento test.txt en una conexión compartida mediante el protocolo SMB para una unidad de red dedicada a pruebas. Esta nueva habilidad del ransomware cambia de forma importante el panorama de los administradores de red y servidores. Se hace más importante que nunca el hecho de securizar completamente nuestras carpetas compartidas con permisos más fuertes.

Cuando CryptoFortress se ejecuta, comenzará a cifrar nuestra información utilizando para ello claves RSA, añadiendo la extensión .frtrss a cualquier archivo por él modificado. 

wireshark-smb

En cualquier carpeta que resulte afectada veremos como aparece un documento HTML con el nombre READ IF YOU WANT YOUR FILES BACK. Esta nota aleatoria, como se muestra en la primera imagen, contiene enlaces a los servidores C&C. Allí es donde deberemos pagar para recuperar nuestros documentos, cuyo pago evidentemente realizará anonimizando la conexión mediante los servidores de la red Tor.

Finalmente y no menos importante, CryptoFortress enviará un comando destinado a eliminar todas las Shadow Copies de Windows (Shadow Copy = versión anterior de archivos) que por defecto crea Windows para recuperarlos mediante el servicio de Restaurar Sistema. Ya no seremos capaces de recuperar nuestros archivos mediante dicho servicio, como antes ocurría en ciertos casos:

vssadmin delete shadows /all /quiet

Sin ninguna duda, cifrar unidades de red sin mapear va a suponer un problema muy grave para los administradores que se vean afectados por la infección. Ahora se hace más importante que nunca el hecho de contar con una política de Backups apropiada y además redundada en unidades no mapeadas ni conectadas de forma constante a los sistemas.

Esto convierte a las soluciones de backup en la nube en una solución aún más atractiva para evitar desastres y no perderlo todo por culpa del ransomware.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR