Torrentlocker y Recomendaciones para combatir el Ransomware

0

ABUS_Candado_155Como habéis podido leer en nuestra web a principios de semana, Torrentlocker lleva días infectando miles de ordenadores en nuestro país. Utiliza el mismo patrón de funcionamiento que Cryptolocker y, para añadir más confusión, también ha adoptado su nombre.

Es por eso que muchos usuarios, al saberse infectados (supuestamente) por Cryptolocker, acuden a foros y páginas especializadas (como Decrypt-Cryptolocker) pero no sirve de nada y no pueden recuperar sus archivos.

TorrentLocker

Este malware se suma a una amplia variedad de ransomware que ha ido apareciendo en los últimos años, tanto en plataformas móviles como de sobremesa: Cryptowall, Cryptolocker, Reventon o Torlocker, entre otros. Recordemos brevemente como se despliega este ransomware:

Infección

Se produce contra sistemas Microsoft Windows y siguiendo, más o menos, los mismos patrones que en Cryptolocker. Se activará al hacer click sobre los adjuntos o ejecutables incluídos, en este caso, en un supuesto email de Correos y Telégrafos. Esta campaña está desplegada de forma premeditada contra objetivos españoles, lo que se refleja en el idioma y en los dominios utilizados (nacionales):

Torrentlocker

Archivos afectados

Torrentlocker cifrará los archivos con las extensiones que aparecen en la imagen inferior y se encuentren en unidades de disco con letra de unidad asignada. Aquí podemos observar una diferencia evidente respecto a Cryptolocker, y es que no estarán afectadas las carpetas compartidas, salvo que se encuentren asignadas como unidades de disco locales.

Archivos afectados por Torrentlocker

Archivos afectados por Torrentlocker

Tras la infección, TorrentLocker se comunicará mediante una sesión cifrada con su Servidor C&C, en la que se le facilitará la clave privada con la que debe comenzar el cifrado de nuestros archivos. Si el malware no establece antes una comunicación con su C&C (equipo no conectado a la red) no podrá iniciar el cifrado.

Versiones operativas

  1. La primera fué descubierta en verano de 2014 y se centró en Australia, usando el mismo patrón que en España: suplantación del servicio de Correos. Esta versión usaba un cifrado de baja fortaleza y clave estática, afectando solamente a los primeros 2 MB de cada archivo. En estos casos, ha sido posible recuperar los datos a través de la herramienta TorrentUnlocker.
  2. La segunda versión apareció a comienzos de Diciembre, y utiliza el estandar AES o Advanced Encryption Standard. Este método de cifrado es muy robusto e imposibilita la recuperación de los archivos. En este caso, la única esperanza reside en desconectar el equipo lo suficientemente rápido de la red tras la infección y apagarlo, para evitar que siga cifrando el disco. Después se procederá a recuperar los archivos mediante herramientas como File Carving, que buscarán en base a contenido y no a los metadatos de los archivos. Este proceso se realizará conectando el disco en forma de “solo lectura” a otro equipo que no esté infectado.

 

Fisionomía

Torrentlocker procurará hacerse un hueco en nuestro equipo mediante avanzadas técnicas de ingeniería social. Vamos a enumerar algunas muestras que se han ido recopilando en la red y que están dirigidas a usuarios de habla hispana:

Spam (Ejemplo 1)

Torrentlocker suplanta el servicio de información de Correos

Torrentlocker suplanta el servicio de información de Correos

Spam (Ejemplo 2)

Torrentlocker ataca España de forma masiva

Spam (Ejemplo 3)

torrentlocker 3

Recomendaciones para combatir el Ransomware

Mis datos están comprometidos ¿Qué hago?

  • No pagues el rescate (ransom)
    • Pagar el rescate podría ser visto como un recurso si lo demás falla, pero lo único que hace es demostrarle al delincuente lo rentable que le resulta su actividad. Incluso pagando el rescate, NADIE nos garantiza que vayamos a recuperar el control sobre nuestros archivos perdidos.
  • Desconecta el equipo de la red y elimina la amenaza
  • Existen muchas amenazas y variantes de ransomware, por lo que no podemos crear una “biblia” que lo solucione todo. Sin embargo, si sabemos buscar veremos que los desarrolladores de antivirus y algunos expertos en seguridad tienen guías específicas para desinfectar cada amenaza, siempre estando el equipo desconectado de cualquier red.
  • Backups: restableceremos los datos desde un backup. El hecho de tener un backup periódico es importante, pero también lo es que su periodicidad sea correcta. No nos sirve de nada un backup mensual si con los datos perdidos en 10 días nuestro negocio puede pararse.

¿Puedo recuperar el acceso a mis archivos sin pagar por ello o sin tener una copia de seguridad?

  • Normalmente no. Versiones anteriores de estas amenazas simplemente escondían los archivos en el disco o dejaban copias anteriores de archivos en lo que se conoce como Shadow Copies de Windows, incluso dejaban las claves almacenadas localmente o en la memoria volátil del PC, por lo que se podía recuperar el contenido. Eso no quiere decir que no merezca la pena investigar, por si estamos frente a una versión menos sofisticada y hay alguna opción. Pero el panorama está cambiando y el ransomware es cada vez más inteligente.

¿Puedo realizar un ataque de fuerza bruta?

  • No, actualmente el ransomware utiliza claves de cifrado RSA de  2048 bits. Es imposible lograr nada con este tipo de claves actualmente.

Ransomware

¿Qué pasos me conviene dar para estar protegido?

  1. Antivirus: El primero es, sin duda, tener una solución antivirus (doméstico) o Endpoint (empresa) que es la última línea de defensa ante intrusiones. Este deberá tener, además de la tradicional protección para archivos: protección de descargas, protección para el navegador, heurística, firewall y un sistema de asignación de reputación para archivos (basado en la comunidad).
  2. Educación del usuario: Uno de los principales vectores de infección es el llamado “Spear phishing“, situación en la que un email no solicitado llegará al buzón, desde un emisor desconocido (o suplantado) y con adjuntos peligrosos. Es crucial educar a nuestros usuarios o empleados para que manejen estos mensajes con cautela.
  3. Filtrado de contenido: es conveniente establecer un sistema de filtrado de contenido en nuestros servidores de correo electrónico. De esta forma se bloquearán aquellos que contengan scripts o ejecutables que puedan suponer un riesgo para la red o equipo.
  4. Actualizaciones: Se debe mantener un continuo ciclo de actualizaciones para el sistema operativo y las aplicaciones que tienen vulenrabilidades conocidas. Existen muchos exploit alojados en webs (incluso sin que webs legítimas sean conscientes) y lanzarán el malware contra nosotros si comprueban que hay una puerta mal cerrada.
  5. HIP o Host Intrusion Prevention: Ya sea un IDS o un IPS, necesitamos un sistema que sea capaz de detectar y bloquear un intento de comunicación entre el malware y su orígen, ya que esto le permitiría obtener las claves de cifrado que el ransomware necesita.
  6. Impedir la ejecución: se deben buscar soluciones para impedir la “ejecución automática” de medios en Windows, además de establecer una serie de reglas de bloqueo, por ejemplo la ejecución por parte del usuario de archivos que procedan de un determinado tamaño o tipo de compresión. Opcionalmente, se pueden establecer Políticas de Grupo para conseguir este filtrado.
  7. Limitar el acceso del usuario final a unidades mapeadas: El ransomware actual es capaz de navegar y cifrar datos en cualquier unidad que tengamos mapeada. Restringir los derechos del usuario para compartir o modificar el sistema de archivos de unidades mapeadas, proporcionará una linea que el ransomware no puede cruzar.
  8. Backup, Backup y… Backup: Por último pero no menos importante, debemos desplegar una solución eficaz, periódica y segura de backup. La redundancia de datos es la mejor manera de evitar que nuestro negocio se pare durante días o semanas.
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR