¡Cryptolocker quiere vuestro dinero!

1

Es posible que hayáis leido algo sobre Cryptolocker, un nuevo ransomware que llega al sistema mediante un troyano, cifra todos nuestros archivos y, finalmente, nos pide realizar un pago de 100€ para poder recuperar nuestros efectos personales. El plazo que se nos da para realizar el pago es de 100 horas y se nos muestra un contador con el tiempo restante.

Este troyano utilizada un complejo sistema de cifrado RSA de 2048 bits de longitud.

En el pasado, los expertos de Laboratorios Kaspersky se enfrentaron a una amenaza similar provocada por el famoso GPCode, que también empleaba RSA como algoritmo de cifrado. En 2008 consiguieron extraer las claves de tipo RSA con 660 bits de longitud, de esta forma pudieron proporcionar a las víctimas un sistema para recuperar sus datos perdidos. Sin embargo, posteriormente los creadores del malware actualizaron su sistema para que emplease 1024 bits en su clave, lo que requiere un poder computacional tan grande, que solo la NSA podría conseguir descifrarlo en un tiempo razonable.

El peligroso ransomware Cryptolocker

Cryptolocker usa un sólido sistema de cifrado, el cual parece infranqueable. Para cada víctima, se conecta a su servidor de Comando y Control y descarga su clave pública RSA que es usada para cifrar nuestros datos. Para cada nueva víctima, otra clave única es creada y solamente los autores de Cryptolocker poseen acceso a las claves privadas necesarias para el descifrado.

Primera ventana de advertencia del programa, nos avisa de que nuestros archivos han sido cifrados con Cryptolocker y la suma a pagar para recuperarlos

Primera ventana de advertencia del programa, nos avisa de que nuestros archivos han sido cifrados con Cryptolocker y la suma a pagar para recuperarlos

Los atacantes nos ofrecen algo más de 3 días para realizar el pago, en caso contrario los datos se pierden para siempre. Se ofrecen multitud de opciones para realizar el pago, incluyendo moneda virtual Bitcoin:

Criptolocker nos da la opción de emplear moneda virtual de tipo Bitcoin

Criptolocker nos da la opción de emplear moneda virtual de tipo Bitcoin

Ahora, para asegurarse de que la víctima “pilla” el mensaje, establecen un aterrador fondo de pantalla en el equipo infectado:

Criptlocker establece un fondo de pantalla de aspecto tenebroso con el fin de animarnos a realizar el pago lo antes posible

Para conectarse a los servidores C2, Cryptolocker usa un algoritmo de generación de dominios que produce 1000 nombres de candidatos únicos de dominio por día. Dimiter Antonov, experto de ThreatTrack Security, revirtió el proceso del algoritmo y de esta forma Kaspersky Lab fué capaz de examinar 3 de estos dominios con el fin de establecer un número aproximado de víctimas a nivel global.

En total, se han obtenido 2764 direcciones IP únicas que contactaron con los dominios examinados.El mayor número de IPs fué obtenido el Miércoles 16 de Octubre, con 1266 direcciones únicas.

Estadísticas globales de infección por Cryptlocker

Estadísticas globales de infección por Cryptlocker

Debajo podéis observar la distribución de víctimas por país (top 30). Los más afectados son Reino Unido y EEUU, seguido de India, Canadá y Australia (aunque también ha alcanzado varios equipos en España):

Víctimas por país - top 30 - Afectados por el ransomware Cryptolocker

Es importante reseñar que esta estadística es aproximada, además de incluir solamente aquellos equipos que aún no han cifrado sus archivos. Si actúan rápidamente tras la infección y limpian su sistema con una buena herramienta anti-malware, los datos podrían no llegar a ser cifrados.

Como defenderse de la amenaza

Cryptolocker emplea un sólido método de cifrado de archivos para asegurarse de que las versiones descifradas no pueden ser recuperadas por herramientas como Photorec. La mejor estrategia es asegurarse de que estamos ejecutando un producto antimalware actualizado y capaz de detener la actividad de este malware. El servicio de prevención de intrusión de Kaspersky es capaz de neutralizar este comportamiento.

Para comprobar vuestro sistema en busca de este malware podéis usar Kaspersky Rescue Disk o una de las herramientas similares que os ofrecemos:

  1. Descargad Kaspersky Rescue Disk 10 (.iso) desde nuestra sección de descargas.
  2. Opcionalmente, podéis descargar Kaspersky Rescue Disk Maker (rescue2usb.exe). Esto nos permite lanzar la aplicación desde una llave USB y no tener que emplear un disco.
  3. Podéis ver la documentación de la base de datos de Kaspersky en caso de dudas.

Las variantes más comunes del malware Cryptolocker son detectadas por Kaspersky Antivirus con los siguientes nombres:

Trojan-Ransom.Win32.Blocker.cfkz, Trojan-Ransom.Win32.Blocker.cmkv, Trojan-Ransom.Win32.Blocker.cggx, Trojan-Ransom.Win32.Blocker.cfow, Trojan-Ransom.Win32.Blocker.cjzj, Trojan-Ransom.Win32.Blocker.cgmz, Trojan-Ransom.Win32.Blocker.cguo, Trojan-Ransom.Win32.Blocker.cfwh, Trojan-Ransom.Win32.Blocker.cllo, Trojan-Ransom.Win32.Blocker.coew.

Si vuestros datos ya han sido cifrados, lo peor que podéis hacer es pagar a estos delincuentes. Esto los animará a seguir expandiendo sus actividades y mejorar sus vías de ataque. Recordad que una buena prevención es el mejor remedio.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR