Ransomware, el regreso!


Sergio de los Santos, de hispasec.com ha hecho un artículo bastante bueno sobre este tipo de virus troyano.





El titulo original del articulo:
¿Vuelve el ransomware? Troyano utiliza criptografía asimétrica

El ransomware es un tipo de troyano que, de vez en cuando, asoma al mundo del malware. Esta semana hemos visto un espécimen que nos ha llamado la atención porque utiliza criptografía asimétrica para cifrar los archivos del usuario y pedir así un rescate por ellos. La mala noticia es que, al contrario que otros ransomware, este está relativamente bien hecho y los archivos pueden quedar inservibles. La buena noticia es que el atacante ha cometido un par de fallos y el impacto se puede mitigar.

Su funcionalidad básica es cifrar documentos y archivos del usuario y pedir un rescate por ellos (en este caso 120 dólares). Normalmente los atacantes utilizan una cuenta de PayPal o cualquier servicio de giro postal que facilite el anonimato. La mayoría ni se molestan, una vez recibido el dinero, en descifrar los archivos. Juegan con la desesperación de las víctimas, que pueden ver como todas las fotografías, documentos, presentaciones y vídeos de su disco duro quedan inservibles.

Uno de los más famosos fue PGPcoder, que saltó a la luz en 2004. Este troyano cifraba los archivos de los sistemas y solicitaba dinero a los usuarios afectados si querían volver a restaurarlos. La realidad es que, debido a un mal diseño de su creador, el troyano utilizaba un algoritmo de cifrado muy simple basado en valores fijos, que permitía invertirlo y recuperar automáticamente los archivos. Cada cierto tiempo el creador ha publicado una nueva versión y si bien comenzó a utilizar criptografía fuerte, no era asimétrica. Kaspersky consiguió crackear la contraseña usada y ofrecía soluciones a las víctimas para descifrar los archivos sin necesidad de pagar el rescate.

Pero parece que los atacantes han aprendido la lección. Este troyano utiliza una combinación de RSA (para generar un par de claves pública y privada) y AES para cifrar. A su vez, utiliza la clave pública del atacante para cifrar la privada con la que han sido cifrados los ficheros de la víctima. Además también evitan borrar los ficheros originales. Ahora los sobrescribe. En versiones anteriores, era posible recuperar los datos cifrados con cualquier programa para recuperar ficheros eliminados del sistema.


Veamos cómo funciona exactamente y qué fallos y aciertos ha cometido su autor.

1.- El troyano (empaquetado con UPX) contiene en su interior una clave pública del atacante, un archivo BMP (el fondo de pantalla) y el texto del mensaje.

2.- Utilizando las APIs criptográficas de Windows, genera un par de claves públicas y privadas (las llamaremos A y B) usando el protocolo RSA.

3.- Cifra con su clave pública una de las claves (pongamos A) generadas en el paso 2, lo que daría A'. Este paso es interesante, porque así evita que alguien con conocimientos aplique el proceso inverso de cifrado.

4.- En este punto el troyano crea un hilo y comienza a realizar dos tareas en paralelo. Por un lado muestra el mensaje de texto (concatenando en el texto la clave A') y cambia el fondo de pantalla y por otro comienza a cifrar. Esto es un grave error por parte del atacante, puesto que mientras muestra el mensaje de alerta, ya está cifrando entre bambalinas los archivos. La víctima, una vez visualizado el mensaje, solo tiene que identificar y matar el proceso. Así salvará la mayor parte de sus ficheros. Lo ideal (desde el punto de vista del atacante) hubiese sido primero cifrarlo todo y luego avisar a la víctima. El troyano no se ejecutará de nuevo en el sistema.

5.- El troyano busca en todas las unidades, ficheros con estas extensiones: jpg, . jpeg, . psd, . cdr, . dwg, . max, . mov, . m2v, . 3gp, . doc, . docx, . xls, . xlsx, . ppt, . pptx, . rar, . zip, . mdb, . mp3, . cer, . p12, . pfx, . kwm, . pwm, . txt, . pdf, . avi, . flv, . lnk, . bmp, . 1cd, . md, . mdf, . dbf, . mdb, . odt, . vob, . ifo, . mpeg, . mpg, . doc, . docx, . xls, y.xlsx. Cifra con la otra clave B generada en el paso 2 y en bloques la mitad del tamaño de cada archivo. Suponemos que por eficiencia (es un proceso que consume recursos). Es interesante destacar que los archivos son sobrescritos (hace que los originales no puedan recuperarse). Antes de cifrar cada archivo, debe comprobar que no se llame HOW TO DECRYPT FILES.txt o el nombre aleatorio que pone al BMP que usa como fondo de pantalla. Si es así, no los cifra. Esta es una comprobación que se podía haber ahorrado si creara estos archivos después del cifrado y no antes, como hemos mencionado.

6.- Borra la clave B con la que ha cifrado los archivos. Ahora, será necesario que el atacante descifre A' con su clave privada. Con esto el atacante obtendrá A, necesaria para descifrar lo que ha sido cifrado con B.

7.- El troyano crea un bat temporal para borrarse.

En el mensaje se advierte a la víctima de que después de un tiempo los ficheros cifrados serán borrados. Esto no es cierto, no está programado en el código.

Si alguien queda infectado y no cuenta con copia de seguridad de sus ficheros puede perderlos definitivamente. Solo queda, como hemos apuntado, detectar la infección (por el mensaje que aparece y el cambio de fondo de escritorio) y matar el proceso o apagar el sistema. Un usuario con conocimientos de ingeniería inversa podría depurar el proceso mientras está cifrando e intentar rescatar de la memoria la clave B, pero es complejo (y se debe ser rápido). Nunca se debe realizar el pago.

La primera muestra que tenemos en Virustotal data del 25 de noviembre. Era detectada por firmas por 5 motores. La última está siendo detectada por 24 motores. El país de donde provienen la mayoría de las muestras es Alemania.

Fuente:
Por Alejandro J. Gómez & Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Microsoft denuncia que el software libre viola 235 de sus patentes
Según la compañía de Bill Gates, el sistema operativo GNU/Linux, viola un total de 107 de sus patentes. En una entrevista publicada por la revista Fortune, un representante de Microsoft alega que el kernel o núcleo del sistema operativo Linux, vi...
Forum Web Server deja al descubierto sus claves.
Varias vulnerabilidades muy peligrosas del Web Server Forum hacen que sea aconsejable actualizarlo por seguridad. Forum Web Server es un servidor web pero de Foros de noticias y álbum de fotos (no es muy conocido en España , pero fuera es muy exten...
Microsoft desmiente uso de “warez” en Windows XP
A pesar de que se han detectado firmas piratas en varios archivos estándar de audio en Windows XP, Microsoft desmiente categóricamente haber incorporado programas ilegales, es decir “warez”, en su sistema operativo....
La última actualización de Office 2003 impide abrir documentos antiguos
Office 2003, en su última renovación, impide abrir o guardar documentos antiguos de Word, Excel o PowerPoint. El motivo, según el soporte técnico de Microsoft, es que son menos seguros y pueden suponer un riesgo para el usuario. Para acceder a lo...
OpenOffice.org 3.0 quiere comerse a Outlook
Una presentación promocional de lo que llegará con la versión 3.0 de OpenOffice.org permite vislumbrar sus características como algo más que una suite ofimática: puede que Thunderbird acabe integrándose con este paquete software, y si lo hace ...
Importante Fallo en Apache (Todas las versiones)
Escrito por Lolaine en y de Infohackers: ISS X-Force ha publicado (irresponsablemente, sin notificar a Apache Foundation ni dar tiempo para realizar el parche) un fallo de seguridad en todas las versiones del servidor web Apache, el más usado...
Cómo trata Google a sitios hackeados?
Matt Cutts, el responsable del equipo antiwebspam de Google, cuenta en su blog como un sitio fue primero hackeado por terceros, luego eliminado del índice por Google y finalmente como se alertó a los responsable del sitio en cuestión para ofrecerl...
Disponible versión de Freespire
Es una de las distribuciones GNU/Linux más orientadas al usuario final para que con ella pueda substituir a Windows, ya que reproduce ficheros de Windows Media, MP3 o QuickTime entre otros, y gráficamente tiene un gran parecido con el sistema opera...
Liberado Mozilla 1.1
Ya fue liberada la versión final de Mozilla 1.1. Lo puedes bajar desde http://www.mozilla.org/releases Trae interesantes opciones....
Jacob Ziv: Contra cualquier tipo de reglamentación en internet
El nombre de Jacob Ziv quizás no suene a muchos, pero sus ideas están presentes en la vida diaria de cada uno de nosotros, en actos tan cotidianos como escuchar una canción en el MP3, ver una película en DVD o enviar a un amigo por el correo elec...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • ransomware
  • regreso
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra