Cómo eliminar Cryptowall 3.0

0

Guía para eliminar Cryptowall 3.0

La variante de ransomware denominada CryptoWall 3.0 lleva semanas extendiéndose. Mucha gente pierde sus archivos y el contro de su equipo debido a una decisión equivocada, de forma puntual, como hacer click en un enlace o descargar un archivo adjunto que no debía.

Cryptowall 3.0 recibe una actualización

Algunos exploits como el denominado Angler Exploit Kit o el Nuclear Exploit Pack, han sido actualizados recientemente para adaptarse a las vulnerabilidades Zero Day de Flash. De hecho, el Kit de Exploit Magnitude incluye la temida vulnerabilidad CVE-2015-5119 entre sus herramientas de hacking. Los laboratorios TrendMicro detectan a la nueva versión de Cryptowall como TROJ_CRYPWALL.XXTXM, pero podemos seguir llamándolo Cryptowall 3.0, para entendernos.

¿Cómo funciona Cryptowall 3.0?

TROJ_CRYPWALL_XXTXMEn el diagrama inferior podéis ver un diagrama que muestra las acciones que este ransomware lleva a cabo en el equipo:

  1. Primero modifica entradas del Registro de Windows para deshabilitar algunos servicios del sistema. Así, el equipo queda inutilizable.
  2. Se conecta a diferentes servidores para enviar información y recibir instrucciones.
  3. Borra la copia originalmente creada de sí mismo.

Algunos datos sobre esta variante de Cryptowall

  • Tamaño de archivo: 229376 bytes
  • Extensión: .EXE
  • Primera muestra analizada: 8 de Julio de 2015
  • Acciones: se conecta a varios servidores y cifra archivos del equipo

Instalación de Cryptowall

Este troyano deja varias copias de sí mismo en el sistema afectado:

  • %System Root%\{8 caracteres aleatorios}\{8 caracteres aleatorios}.exe
  • %Application Data%\{8 caracteres aleatorios}.exe
  • %User Startup%\{8 caracteres aleatorios}.exe

Nota: %System Root% es el directorio raíz de Windows, normalmente con la letra C:\ en todas las versiones. Mientras, %Application Data% se refiere a la carpeta Application Data o AppData (en versiones Windows 7 y posteriores). Normalmente se encuentra en la ruta: C:\Users\{nombre de usuario}\AppData\Roaming. La carpeta %User Startup% contiene los elementos que se cargan al inicio de Windows y suele hallarse en C:\Documents and Settings\{nombre de usuario}\Start Menu\Programs\Startup.

Luego, el troyano deja los siguientes archivos en el directorio de inicio:

  • %User Startup%\HELP_DECRYPT.HTML
  • %User Startup%\HELP_DECRYPT.PNG
  • %User Startup%\HELP_DECRYPT.TXT
  • %User Startup%\HELP_DECRYPT.URL

Después, el ransomware descarga y ejecuta los siguientes archivos:

  • %Desktop%\HELP_DECRYPT.HTML
  • %Desktop%\HELP_DECRYPT.PNG
  • %Desktop%\HELP_DECRYPT.TXT
  • %Desktop%\HELP_DECRYPT.URL

Nota: %Desktop% se refiere a nuestro Escritorio de Windows, normalmente situado en C:\Users\{nombre de usuario}\Desktop, pero depende de la versión. Si el sistema es anterior a Windows Vista, la ruta será C:\Documents and Settings\{nombre de usuario}\Desktop

Después, añade los procesos:

  • explorer.exe
  • svchost.exe

Se inyecta en los siguientes procesos ejecutados en memoria:

  • crea explorer.exe
  • crea svchost.exe

Auto-arranque

Este troyano añade algunas entradas al registro de Windows para conseguir permanencia en el sistema tras los reinicios:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*{6 caracteres aleatorios} = “%System Root%\{8 caracteres aleatorios}\{8 caracteres aleatorios}.exe” (sólo en Windows Vista y posteriores)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
*{7 caracteres aleatorios} = “%Application Data%\{8 caracteres aleatorios}.exe” (sólo en Windows Vista y posteriores)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7 caracteres aleatorios} = “%System Root%\{8 caracteres aleatorios}\{8 caracteres aleatorios}.exe”

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{8 caracteres aleatorios} = “%Application Data%\{8 caracteres aleatorios}.exe”

Después descarga los siguientes archivos en la carpeta de Inicio del usuario de Windows, para así habilitar su ejecución automática con cada inicio del sistema.

  • %User Startup%\{8 caracteres aleatorios}.exe

Otras modificaciones realizadas al equipo

El troyano añade estas dos claves vacías

HKEY_CURRENT_USER\Software\{UID}

HKEY_CURRENT_USER\Software\{UID}\
{clave aleatoria}

Añade las siguientes entradas al registro

HKEY_CURRENT_USER\Software\{UID}
{2 caracteres aleatorios} = “{contenido de HELP_DECRYPT.URL}”

HKEY_CURRENT_USER\Software\{UID}
{2 caracteres aleatorios} = “{contenido de HELP_DECRYPT.TXT}”

HKEY_CURRENT_USER\Software\{UID}
{2 caracteres aleatorios} = “{contenido de HELP_DECRYPT.HTML}”

HKEY_CURRENT_USER\Software\{UID}
{2 caracteres aleatorios} = “{RSA PUBLIC KEY}”

HKEY_CURRENT_USER\Software\{UID}\
{clave aleatoria}
{ruta al archivo cifrado} = “{valor hexadecimal}”

Cryptowall 3.0 modifica las siguientes entradas del registro

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = “1”

El valor predefinido para esta entrada es 0.

Modifica entradas del registro para deshabilitar servicios del sistema

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = “4”

El valor predefinido para esta entrada es 2.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = “4”

El valor predefinido para esta entrada es 2.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = “4”

El valor predefinido para esta entrada es 2.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = “4”

El valor predefinido para esta entrada es 2.

Otros detalles

El troyano se conecta después a esta URL para conseguir la IP del sistema afectado:

http://ip-addr.es

Se conecta a los siguientes sitios web para enviar y recibir información
{BLOCKED}ges.com/wp-content/themes/dd.php
{BLOCKED}.com/wp-content/themes/cc.php
{BLOCKED}asta.com/wp-content/themes/ee.php
{BLOCKED}rabulut.com/wp-content/plugins/aa.php
{BLOCKED}ts.com/wp-content/themes/cc.php
{BLOCKED}dadmatters.com/wp-content/themes/dd.php
{BLOCKED}orspeaking.com/wp-content/themes/aa.php
{BLOCKED}makeupartists.com/wp-content/plugins/bb.php
{BLOCKED}lman.com/wp-content/plugins/cc.php
{BLOCKED}avelblog.com/wp-content/themes/cc.php
{BLOCKED}ucklechoppers.com/wp-content/plugins/aa.php
{BLOCKED}ctical.com/wp-content/plugins/dd.php
{BLOCKED}epromoworks.com/wp-content/plugins/ee.php
{BLOCKED}rds.com/wp-content/plugins/bb.php
{BLOCKED}sreferralnetwork.com/wp-content/plugins/bb.php
{BLOCKED}naboca.com/wp-content/themes/dd.php
{BLOCKED}ancerswap.com/wp-content/plugins/cc.php
{BLOCKED}ductsinc.com/wp-content/plugins/aa.php
{BLOCKED}ledreaming.com/wp-content/themes/aa.php
{BLOCKED}kbox.com/wp-content/themes/ee.php
{BLOCKED}ex.com/wp-content/plugins/bb.php
{BLOCKED}icalhealthservices.com.au/wp-content/wp-content/plugins/aa.php
{BLOCKED}blend.com/wp-content/themes/dd.php
{BLOCKED}abbitartdesign.com/wp-content/plugins/dd.php
{BLOCKED}abbitartdesign.com/wp-content/plugins/dd.php?q=mot1ftux4kqm
{BLOCKED}e-blah.com/wp-content/plugins/dd.php
{BLOCKED}sd.com/wp-content/plugins/cc.php
{BLOCKED}nd.com/wp-content/plugins/aa.php
{BLOCKED}argenutrition.com/wp-content/plugins/cc.php
{BLOCKED}hirts.com/wp-content/plugins/bb.php
{BLOCKED}x.com/wp-content/plugins/bb.php
{BLOCKED}der.com/wp-content/plugins/dd.php
{BLOCKED}oersam.com/wp-content/plugins/aa.php
{BLOCKED}tapreppersparadise.com/wp-content/plugins/bb.php
{BLOCKED}x.com/wp-content/plugins/cc.php
{BLOCKED}bontubes.com/wp-content/plugins/ee.php
{BLOCKED}qvarnamowers.com/wp-content/themes/aa.php
{BLOCKED}erynature.com/wp-content/plugins/bb.php
{BLOCKED}.com/wp-content/themes/ee.php
{BLOCKED}nc.com/wp-content/plugins/bb.php
{BLOCKED}larose.com/wp-content/plugins/ee.php
{BLOCKED}peone.com/wp-content/plugins/ee.php
{BLOCKED}om.au/wp-content/plugins/bb.php

Extensiones afectadas por Cryptowall 3.0
El ransomware afecta las siguientes extensiones de archivos, que serán cifrados:
.aif
.aifc
.aiff
.asf
.asx
.au
.bas
.bat
.bmp
.cmd
.com
.dib
.doc
.doc
.dot
.dot
.dvr-ms
.emf
.exe
.gif
.hta
.hta
.htm
.htm
.html
.html
.ico
.IVF
.jfif
.jpe
.jpeg
.jpg
.m1v
.m3u
.mid
.midi
.mp2
.mp2v
.mp3
.mpa
.mpe
.mpeg
.mpg
.mpv2
.msi
.pdf
.pdf
.pif
.png
.pot
.pot
.pps
.pps
.ppt
.ppt
.reg
.rle
.rmi
.rtf
.rtf
.scr
.snd
.tif
.tiff
.vb
.wav
.wax
.wm
.wma
.wmf
.wmv
.wmx
.wvx
.xls
.xls
.xlt
.xlt
.xlw
.xlw
.xml
.xml
.zip

Borrará después las copias de sí mismo originalmente creadas.

Llega el momento de cifrar archivos

Búsqueda de unidades

Este ransomware buscará cualquier tipo de unidad en la que puedan existir archivos del usuario, a excepción de las unidades ópticas por motivos obvios (no pueden escribir en ellas)

Eliminación de Shadow Copies

Las Shadow Copies son las “versiones anteriores de archivos” que las últimas versiones de Windows almacenan por seguridad.

Luego, Cryptowall 3.0 ejecutará un comando que le permita eliminar rápidamente las Shadow copies del equipo. Son el único método predefinido que permitiría a Windows devolverte tus archivos.

vssadmin.exe Delete Shadows /All /Quiet

El parámetro /Quiet le indica a Window que no debe informarnos, por lo que el usuario no se entera de nada.

Ahora, el ransomware deja caer estos archivos informativos en todas las carpetas donde ha encontrado y modificado archivos personales:

  • HELP_DECRYPT.HTML
  • HELP_DECRYPT.PNG
  • HELP_DECRYPT.TXT
  • HELP_DECRYPT.URL

Algunas imágenes que podríais encontrar

Sugieren que la amenaza en vuestro sistema es Cryptowall 3.0, pero examinad bien los detalles, suelen parecerse bastante a otras:

HELP_DECRYPT.PNG

HELP_DECRYPT.PNG

HELP_DECRYPT.HTML

HELP_DECRYPT.HTML

HELP_DECRYPT.TXT

HELP_DECRYPT.TXT

Demanda del pago

Ahora lo que veremos es el típico mensaje en estos casos. Se nos pide una suma de dinero -unos 450 €– para conseguir un software que desbloquee los archivos.

TROJ_CRYPWALL_XXTXM5

TROJ_CRYPWALL_XXTXM4

Cómo eliminar Cryptowall 3.0

Paso 1

Antes de realizar algún escaneo del equipo, debemos desactivar Restaurar sistema en cualquiera de los sistemas operativos de Microsoft qua utilicemos. 

Al hacerlo, conseguiremos que el scanner puede “mirar dentro” de estas ubicaciones que, de otro modo, estarían bloqueadas (pero no para el malware).

Paso 2

Ten en cuenta que no todos los archivos, entradas del registro y carpetas tendrían por qué aparecer de forma similar en tu sistema si resultas infectado. Ciertas condiciones particulares del sistema operativo o el software en ejecución podrían modificar levemente los síntomas. 

Paso 3

Reiniciaremos el sistema en Modo Seguro.

 

Aviso sobre el Registro de Windows
Ten en cuenta que al editar el Registro de Windows puedes hacer tanto mal como bien, así que no te hagas el valiente cambiando cosas a la ligera. Si no sabes, pídele a alguien capacitado que lo haga por tí.

Paso 4

Borra estos valores del Registro
En HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
{7 caracteres aleatorios} = “%System Root%\{8 caracteres aleatorios}\{8 caracteres aleatorios}.exe”
En HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
{8 caracteres aleatorios} = “%Application Data%\{8 caracteres aleatorios}.exe”
En HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
*{6 caracteres aleatorios} = “%System Root%\{8 caracteres aleatorios}\{random 8 characters}.exe” (for Windows Vista and above only)
En HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
*{7 caracteres aleatorios} = “%Application Data%\{8 caracteres aleatorios}.exe” (for Windows Vista and above only)

Paso 5

Borra esta clave del Registro
En HKEY_CURRENT_USER\Software
{UID}

Paso 6

Restablece los siguientes valores originales en estas claves
En HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
De: DisableSR = “1”
A: DisableSR = 0
En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
De: Start = “4”
A: Start = 2
En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
De: Start = “4”
A: Start = 2
En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS
De: Start = “4”
A: Start = 2
En
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv
De: Start = “4”
A: Start = 2

Paso 7

Busca y borra estos archivos
Es posible que algunos archivo estén ocultos. En este caso, deberás cambiar la opción correspondiente en el Explorador de Windows para que se muestren.

%User Startup%\{8 caracteres aleatorios}.exe
HELP_DECRYPT.TXT
HELP_DECRYPT.PNG
HELP_DECRYPT.URL
HELP_DECRYPT.HTML

Paso 8

Reinicia tu equipo en modo habitual y analiza tu ordenador con un producto antivirus fiable. Por ejemplo, el antivirus de TrendMicro detecta esta variante de Cryptowall 3.0 con el nombre exacto de TROJ_CRYPWALL.XXTXM. En caso de que tu antivirus haya conseguido bloquear y eliminar los archivos antes mencionados, sólo te quedará vaciar el almacén de amenazas.

Compartir.

Sobre el Autor

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR