El ransomware SyncCrypt esconde su carga en imágenes

Una nueva variante del ransomware SyncCrypt se extiende mediante campañas masivas de spam hasta llegar a los buzones de correo de medio mundo, conteniendo su carga útil en imágenes aparentemente inofensivas.

El ransomware SyncCrypt esconde su carga en imágenes

Este ransomware se envía mediante archivos adjuntos a los correos, que contienen archivos con extensión WSF simulando ser sentencias judiciales.

Una vez que la víctima ejecuta uno de los adjuntos, se lanza una orden Jscript embebida y que extrae de las inocuas imágenes toda la carga maliciosa del ransomware. Estos archivos se esconden en zip.

Ransomware SyncCrypt 

Según se comenta en la web Bleeping Computer por parte de uno de los expertos, la cadena JScript además extrae los componentes maliciosos:

sync.exe

readme.html

andreadme.png

Si un usuario hace clic sobre una de estas URLs de imagen directamente solamente verá la imagen que contiene el logo del album de Olafur Arnalds titulado “& They Have Escaped the Weight of Darkness”

Este archivo WSF también crea una tarea en el programador de Windows, de nombre Sync, que cuando es lanzada comienza a escanear el sistema en busca de unos tipos de archivo predefinido a los que después ataca y cifra con algoritmo AES.

Ransomware

Además, este ransomware emplea un fuerte algoritmo de cifrado de clave pública RSA con longitud de 4096 bits, que usa para encriptar la clave AES.

Tipos de archivo atacados

En torno a 350 tipos de archivo diferentes son modificados para secuestrarlos, tras lo cual se añade una extensión .kk. De forma curiosa, el ransomware no toca nada en las siguientes carpetas de sistema (algo que es común en otras variantes):

  • Windows
  • Archivos de Programa (en sus dos variantes)
  • Programdata
  • winnt
  • systemvolumeinformation
  • escritorio
  • readme
  • $recicle.bin

El pago demandado es de unos 400 € al cambio si queremos “confiar” en las buenas intenciones del delincuente. Una vez canjeado por BTC y enviado el pago, es necesario enviar un correo a uno de los emails suministrados, incluyendo la clave privada, para que se nos envíe el decrypter (no hagáis esto, no paguéis).

Emails usados en la nota de demanda

  • getmyfiles@keemail.me
  • getmyfiles@scryptmail.com
  • getmyfiles@mail2tor.com

Detección y contramedidas

Parece ser que esta familia está evadiendo en sus primeras fases la mayoría de motores antimalware del mercado tan solo uno de los 58 existentes en Virustotal a fecha de este artículo habían conseguido identificarlo como malicioso.

ransom-note

Esto se debe, en parte, al hecho de que la carga dañina esté insertada en imágenes. Se espera que pronto se actualicen las firmas y se detecte por la mayoría de productos.

Desgraciadamente no existe por el momento ninguna forma de recuperar los archivos infectados por nuestros propios medios (sin pagar) pero vamos a cruzar los dedos y sobre todo, a protegernos.

Archivos dejados por el ransomware

%UserProfile%\AppData\Local\Temp\BackupClient\
%UserProfile%\AppData\Local\Temp\BackupClient\tmp.bat
%UserProfile%\AppData\Local\Temp\BackupClient\sync.exe
%UserProfile%\AppData\Local\Temp\BackupClient\readme.html
%UserProfile%\AppData\Local\Temp\BackupClient\readme.png
%UserProfile%\Desktop\README\
%UserProfile%\Desktop\README\AMMOUNT.txt
%UserProfile%\Desktop\README\KEY
%UserProfile%\Desktop\README\readme.html
%UserProfile%\Desktop\README\readme.png
C:\Windows\System32\Tasks\sync
CourtOrder_[random].wsf

 

Contenido de la ransom note o carta de demanda

YOUR FILES WERE ENCRYPTED

using military grade encryption. The encrypted files have the additional extension .kk. You won't be able to retrieve your data unless you purchase the software provided by us. YOU HAVE EXACTLY 48 HOURS TO MAKE A DECISION OR YOU'LL NEVER SEE YOUR FILES AGAIN. Any atempt to recover your files on your own could damage the files permanently. There is no workaround, that's how encryption is supposed to work. In order to retrieve your data, please follow the steps below:

Go to Desktop folder, and open AMMOUNT.txt from within README folder. Obtaining the decryption sofware requires that you send EXACTLY the ammount of Bitcoin (without the transaction fee) that is written within the text file to the following address: 

15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK

Note that if the ammount sent doesn't match EXACTLY the ammount in the text file, you will NOT receive the sofware, as it's the only way to validate and confirm the payment.

After the payment is done, send an email to ALL of the following addresses getmyfiles@keemail.me, getmyfiles@scryptmail.com, getmyfiles@mail2tor.com containg:
The file named KEY, located within the README folder on your Desktop, as an Attachment - this file is a locked version of the decryption key (that must be unlocked by us), used to recover your files. DO NOT delete it if you plan to get your files back
The transaction id of the Bitcoin payment

Emails that dont contain the KEY file attached will be automatically rejected. 

As soon as we confirm the payment, you will receive on your email address the decription key together with the required software and the instructions to recover your files. 

Dont forget, TIME'S RUNNING OUT

Precauciones a considerar

  • Realiza copias de seguridad y prueba su funcionamiento
  • No abras enlaces ni adjuntos sin haberlos solicitado o sin esperarlos, si no estás seguro de su origen
  • Escanea los adjuntos con motores antimalware múltiples como Virustotal 
  • Si no estás seguro del tipo de ransomware que es, revisa esta lista
  • Actualiza con los parches importantes para Windows o aplicaciones, ya que suelen ser puntos de entrada para muchas amenazas
  • No reutilices contraseñas entre diferentes sitios

Y por supuesto, no olvides comparar y descargar una de las soluciones antivirus o antimalware más eficaces del mercado, algo imprescindible aún a día de hoy para estar protegido.

Autor: Alejandro Sánchez

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.