CTB-Locker el ransomware

ransomware_btc_locker-623x432.jpg

Desde temprano en el día de ayer, en el Laboratorio de ESET Latinoamérica hemos recibido múltiples reportes de campañas de propagación de malware en la región. Un falso correo electrónico que dice contener un fax, no es más que una campaña de propagación de códigos maliciosos cuyo último objetivo es cifrar los archivos de sus víctimas y pedir un rescate en bitcoins para recuperar la información. En este post veremos cómo se propagó por Latinoamérica CTB-Locker, un ransomware que con una nueva variante, vuelve a generar dolores de cabeza a miles de usuarios de la región.

La campaña de propagación de este ataque comienza con un falso correo electrónico que llega a la bandeja de entrada de los usuarios. El asunto del correo simula ser un fax enviado con un adjunto, detectado por las soluciones de ESET comoWin32/TrojanDownloader.Elenoocka.A. En los sistemas de usuarios desprevenidos que ejecuten esta amenaza, tendrán como resultado que todos sus archivos serán cifrados debido a que esta primer amenaza descarga una variante de Win32/FileCoder.DA, un ransomware, y deberán pagar un rescate en bitcoins para recuperar su información.

Las variantes de Win32/TrojanDownloader.Elenoocka.A se conectan a una URL remota, con el fin de descargar el malware detectado por ESET como Win32/FileCoder.DA y conocido como CTB-Locker. Esta familia de ransomware cifra todos los archivos del sistema de manera similar a la que lo hace CryptoLocker. Su principal diferencia se basa en que esta familia de malware utiliza otro algoritmo de cifrado, que da origen a su nombre.

El resultado es similar a CrytoLocker o TorrentLocker, los archivos con extensiones como MP4, .PEM, .JPG, .DOC, .CER, .DB entre otros son cifrados por una clave, que hace prácticamente imposible recuperar los archivos. Una vez que el malware terminó de cifrar la información del usuario mostrará por pantalla un cartel de alerta y además cambiará el fondo del escritorio con un mensaje similar al que ven en la siguiente imagen:


Uno de los puntos que más llamó nuestra atención se relaciona con que el mensaje que ve la víctima afectada cuenta con traducción al alemán, holandés e etaliano, pero no al español. Sin embargo, al día de la fecha, hemos recibido en nuestra región un gran número de reportes de estas campañas de propagación, que detallamos al analizar cuál es el país más afectado en Latinoamérica.

Con el fin de asegurarle al usuario que podrá recuperar su archivos si realiza el pago, los cibercriminales ofrecen una demostración de cómo recuperar algunos archivos a modo de ejemplo, esto lo pueden ver aquí:



El impacto que esto puede tener para una empresa o un usuario que no cuenta con una solución de backup, es capaz de convertirse en un verdadero dolor de cabeza. En reportes anteriores del Laboratorio vimos cómo una empresa de Argentina pagó alrededor de dos mil quinientos dólares para recuperar su información.

Luego de que el usuario probó que puede desencriptar los archivos, los cibercriminales le muestran cómo debe hacer para recuperar su información, en dónde puede conseguir los Bitcoins y la dirección a la cual hacer la transacción:



Otro detalle peculiar de CTB-Locker es que el mensaje que le muestra al usuario está en diferentes idiomas, si el usuario decide verlo en inglés el precio será en dólares, en caso contrario la moneda será en euros. El precio del rescate son 8 bitcoins, al día de hoy alrededor de los 1680 dólares.

Es una realidad que la técnica de encriptación que utiliza CTB-Locker no hace posible la recuperación de los archivos a través del análisis del payload. Sin embargo existen ciertas medidas de seguridad que se recomiendan para usuarios y empresas:

  • Si cuentan con una solución de seguridad para servidores de correos habilitar las funcionalidades de filtrado de extensiones posiblemente maliciosas. Esto ayudará a bloquear archivos con extensiones .SCR como el caso deWin32/TrojanDownloader.Elenoocka.A que reportamos en este post
  • Evitar abrir adjuntos de dudosa procedencia en correos que no se ha identificado el remitente
  • Eliminar los correos o marcarlos como spam para evitar que otros usuarios o empleados de la empresa se vean afectados por estas amenazas
  • Mantener actualizadas las soluciones de seguridad para detectar las últimas amenazas que se están propagando
Contrarrestar este tipo de ataques puede no ser una tareas sencilla, y es necesario tomar una postura proactiva, apoyar a la tecnología con educación y por sobre todo estar atentos a los correos que se reciben. Desde el Laboratorio de ESET queremos destacar la colaboración con nuestros distribuidores de Guatemala, Colombia, México y Perúgracias a quienes hemos podido recuperar diferentes variantes que se propagaron por Latinoamérica y entender la metodología que los cibercriminales decidieron utilizar.

Fuente: http://www.welivesecurity.com/la-es/2015/01/20/ctb-locker-ransomware-ataca-nuevo/

P.d.: en mexico ya tengo tres maquinas infectadas, que ****** esta joda
 
  • Me gusta
Reacciones: Compufache
Haz clic para expandir...
:banghead:

fuente: ...2015/01/20/ctb-locker-ransomware-ataca-nuevo/
publicado 20 ene 2015 - 11:20AM
We've got no time to lose,Your news is old news (Rise - Pantera)
 
juanitapregunta dijo:
Siempre leo que no hay solucion.... Usan una encriptacion cuantica experimental irrompible ? o porque no hay solucion ?

Haz clic para expandir...

por que imagino que la encriptacion es en 256 Bits y desencriptarlos con un generador de claves es casi imposible.

Un programa para descifrar la clave de archivos encriptados se basa en un generador de claves y el modo diccionario (mas rápido) si clave del archivo es simple como un numero 5652145 "siete digitos" el ataque de fuerza bruta con caracteres numéricos puede resultar rápido se pueden contar en el caso 5.6 millones de posibilidades, dependiendo de tu procesador esto puede llevar minutos ò puede llevar horas, pero si usó una clave "QWEDSAZXC" un simple juego de teclas en letras mayúsculas. En el ejemplo podemos generar claves de la 'a' hasta la 'z' contemos con unos 27 caracteres luego esta clave está entre un solo carácter y una cadena de 9 caracteres por decir algo corto... Nos encontramos con 7,625,597,484,987 (7 billones de posibilidades) y si la clave "qWeDsAZxc" tenemos mayúsculas y minúsculas... Tratamos con un juego de 27 caracteres en minúsculas y 27 en mayúsculas... O sea 54 caracteres lo q nos deja con 3,904,305,912,313,344 (tres mil novecientos cuatro billones de posibilidades) y para que te cuento si incluyo algún numero o símbolo "$%&!" no acabas en lo que te resta de vida...

esta es la tabla aproximada de cuanto se puede demorar un programa decryptador buscando la contraseña.

Largo: 6 caracteres. Todas en minúsculas: 10 minutos
6 caracteres, mezcla de minúsculas y mayúsculas: 10 horas
6 caracteres, minúsculas + mayúsculas + números/símbolos: 18 días

Largo: 7 caracteres. Todas en minúsculas: 4 horas
7 caracteres, mezcla de minúsculas y mayúsculas: 23 días
7 caracteres, minúsculas + mayúsculas + números/símbolos: 4 años

Largo: 8 caracteres. Todas en minúsculas: 4 días
8 caracteres, mezcla de minúsculas y mayúsculas: 3 años
8 caracteres, minúsculas + mayúsculas + números/símbolos: 463 años

Largo: 9 caracteres. Todas en minúsculas: 4 meses
9 caracteres, mezcla de minúsculas y mayúsculas: 178 años
9 caracteres, minúsculas + mayúsculas + números/símbolos: 44530 años

y asi sucesivamente.

Ahora, ves por que es imposible?
 
  • Me gusta
Reacciones: Max_Headroom
TZR dijo:
por que imagino que la encriptacion es en 256 Bits y desencriptarlos con un generador de claves es casi imposible.

Un programa para descifrar la clave de archivos encriptados se basa en un generador de claves y el modo diccionario (mas rápido) si clave del archivo es simple como un numero 5652145 "siete digitos" el ataque de fuerza bruta con caracteres numéricos puede resultar rápido se pueden contar en el caso 5.6 millones de posibilidades, dependiendo de tu procesador esto puede llevar minutos ò puede llevar horas, pero si usó una clave "QWEDSAZXC" un simple juego de teclas en letras mayúsculas. En el ejemplo podemos generar claves de la 'a' hasta la 'z' contemos con unos 27 caracteres luego esta clave está entre un solo carácter y una cadena de 9 caracteres por decir algo corto... Nos encontramos con 7,625,597,484,987 (7 billones de posibilidades) y si la clave "qWeDsAZxc" tenemos mayúsculas y minúsculas... Tratamos con un juego de 27 caracteres en minúsculas y 27 en mayúsculas... O sea 54 caracteres lo q nos deja con 3,904,305,912,313,344 (tres mil novecientos cuatro billones de posibilidades) y para que te cuento si incluyo algún numero o símbolo "$%&!" no acabas en lo que te resta de vida...

esta es la tabla aproximada de cuanto se puede demorar un programa decryptador buscando la contraseña.

Largo: 6 caracteres. Todas en minúsculas: 10 minutos
6 caracteres, mezcla de minúsculas y mayúsculas: 10 horas
6 caracteres, minúsculas + mayúsculas + números/símbolos: 18 días

Largo: 7 caracteres. Todas en minúsculas: 4 horas
7 caracteres, mezcla de minúsculas y mayúsculas: 23 días
7 caracteres, minúsculas + mayúsculas + números/símbolos: 4 años

Largo: 8 caracteres. Todas en minúsculas: 4 días
8 caracteres, mezcla de minúsculas y mayúsculas: 3 años
8 caracteres, minúsculas + mayúsculas + números/símbolos: 463 años

Largo: 9 caracteres. Todas en minúsculas: 4 meses
9 caracteres, mezcla de minúsculas y mayúsculas: 178 años
9 caracteres, minúsculas + mayúsculas + números/símbolos: 44530 años

y asi sucesivamente.

Ahora, ves por que es imposible?
Haz clic para expandir...

Pero eso es por fuerza bruta que es muy ineficiente
 
No se puede rastrear el pago por que se hace en bitcoins?, la plata tiene que llegar a algún lado, esa moneda es un verdadero problema que se debe abolir!
 
El portatil de un cliente se infectó con este ramsomware y logré recuperarle el 90% de la información.

Cuando me llamó diciendo que los iconos de los archivos le habían cambiado creí que era el virus que convierte todo en acceso directos y que es fácilmente reparable, pero al ver el letrero grande de fondo de escritorio pidiendo rescate:

  1. Desconecté el portátil de internet y lo apagué de inmediato
  2. Leí muchísimo sobre el virus, documentación de todo tipo y definitivamente no hay que luchar contra este.
  3. El tiempo del rescate se terminó mientras investigaba, pero eso no es problema porque siempre dan una opción para hacer el pago a través de Thor
  4. De todo lo que leí y me funcionó, fue descargar el programa llamado hidden files browser, que al parecer ahora se llama Altap Salamander
  5. Prendí el portátil sin conexión a internet, por usb le pasé el instalador, instalé y conecté un disco duro externo de 1TB USB 3.0
  6. El Altap Salamander me mostró casi todos los archivos del portátil sin encriptar, con paciencia fui pasando carpeta por carpeta al DD externo, en total fueron sólo unas 460GB.
Desconecté DD externo, verifiqué en otro computador que los archivos estuvieran bien, cuando estuve seguro borré el disco duro del portátil con una live USB de Ubuntu, instalé de nuevo Windows y todo quedó perfecto.

Eso sí, hubo algunos archivos que no se pudieron recuperar, pero por suerte la dueña del portátil tenía respaldo en otro lado y la mayoría de la info estaba a salvo y no se pagó ni un sólo peso o bitcoin.

El rescate pedía 2 bitcoins, en ese entonces cada bitcoin estaba a más de $500.000
 
  • Me gusta
Reacciones: arkanoid007, milo1978, 3SC4N0R y 4 más
entonces seguro era un virus que intimida con propaganda de ser ctb-locker pero en realidad solo escondía los archivos sin encriptar, si el propietario del equipo se asusta por el contador y tiene información muy importante que perder seguro va pagando para reversar esto. Muy buena info, ya sabemos que hay bandidos que se aprovechan de otros para lograr sus oscuros propósitos y es bueno chequear rápidamente si los archivos están escondidos antes de ir mandando la plata.


Enviado desde mi iPad utilizando Tapatalk
 
.:10101:. dijo:
entonces seguro era un virus que intimida con propaganda de ser ctb-locker pero en realidad solo escondía los archivos sin encriptar, si el propietario del equipo se asusta por el contador y tiene información muy importante que perder seguro va pagando para reversar esto. Muy buena info, ya sabemos que hay bandidos que se aprovechan de otros para lograr sus oscuros propósitos y es bueno chequear rápidamente si los archivos están escondidos antes de ir mandando la plata.


Enviado desde mi iPad utilizando Tapatalk
Haz clic para expandir...

Los archivos estaban encriptados con la extensión del CBT-locker, estuve analizando uno y de verdad estaba encriptado, eso lo olvidé mencionar. Por favor lee cómo funciona el Altap Salamander para que entiendas por qué podía ver los archivos sin encriptar.

Posiblemente tuve algo de suerte al apagar el equipo de inmediato y tenerlo aislado hasta tener una posible solución.
Como al parecer han recogido bastante dinero con ese ramsomware no sería raro que actualicen el virus para que sea cada vez más difícil recuperar la información.
 
  • Me gusta
Reacciones: juanitapregunta
Kurai dijo:
Los archivos estaban encriptados con la extensión del CBT-locker, estuve analizando uno y de verdad estaba encriptado, eso lo olvidé mencionar. Por favor lee cómo funciona el Altap Salamander para que entiendas por qué podía ver los archivos sin encriptar.

Posiblemente tuve algo de suerte al apagar el equipo de inmediato y tenerlo aislado hasta tener una posible solución.
Como al parecer han recogido bastante dinero con ese ramsomware no sería raro que actualicen el virus para que sea cada vez más difícil recuperar la información.
Haz clic para expandir...

No entiendo , podias ver los archivos que no estaban encriptados y los pasaste al otro disco , o , podias ver la informacion de los archivos encriptados (por ejemplo un .docx) y salvarla en otro archivo.

Porque toy leyendo las caracteristicas del programa que pones para ver archivos ocultos , si bien dice:

  • Files encryption and decryption using strong encryption algorithms: AES (Rijndael), Blowfish, and TripleDES in either ECB or CBC mode.
Supongo que desencripta archivos enccriptados con el mismo programa.
 
juanitapregunta dijo:
No entiendo , podias ver los archivos que no estaban encriptados y los pasaste al otro disco , o , podias ver la informacion de los archivos encriptados (por ejemplo un .docx) y salvarla en otro archivo.

Porque toy leyendo las caracteristicas del programa que pones para ver archivos ocultos , si bien dice:

  • Files encryption and decryption using strong encryption algorithms: AES (Rijndael), Blowfish, and TripleDES in either ECB or CBC mode.
Supongo que desencripta archivos enccriptados con el mismo programa.
Haz clic para expandir...

Podía ver los archivos sin encriptar.
Según investigué Windows hace copias temporales de los archivos para su funcionamiento, no conozco a fondo los detalles. Al parecer el ramsomware no encripta esas copias y el Altap Salamander accede a ellos y se pueden copiar.

Si alguien tiene el virus ese, nada pierden en probar lo que a mi me funcionó.

PD: que bueno que ya escribes bien :) antes era un dolor de cabeza ver lo que escribías.
 
Como actualización, el ramsonware llega por correos, un **** cab y chao el amigo, no falta el usuario que lo abre a ver que pasa. yo reviso con este shadow explorer, mi pregunta, en que carpeta se debe buscar? porque usé el shadow explorer y no mostraba nada
 
Yo me pregunto ¿Qué pasará si uno hace restauración del sistema?

Kurai dijo:
Podía ver los archivos sin encriptar.
Según investigué Windows hace copias temporales de los archivos para su funcionamiento, no conozco a fondo los detalles. Al parecer el ramsomware no encripta esas copias y el Altap Salamander accede a ellos y se pueden copiar.

Si alguien tiene el virus ese, nada pierden en probar lo que a mi me funcionó.

PD: que bueno que ya escribes bien :) antes era un dolor de cabeza ver lo que escribías.
Haz clic para expandir...

Lo que sucede en ese caso es que siempre se escribe un archivo nuevo. Es decir :

- Tengo un Archivo.docx
- Lo abro, lo actualizo
- Guardo y cierro.

Para mí es UN solo archivo, pero el sistema creó un Nuevo archivo temporal actualizado. Una vez completó esa tarea, elimina el original remplazandolo por el nuevo. Si todo se hiciera sobre el mismo archivo, cualquier error podría corromper la información.

Otro ejemplo, es el de Cortar y Pegar, windows hace una copia al destino y una vez completa y verifica los archivos en el destino, elimina los arhivos en el origen.

En conclusión, el programa para encriptar debe crear un nuevo archivo encriptado y eliminar el original. Por lo cual la encriptación de todos los archivos en el disco tomará tiempo. A pesar de tener el mensaje, posiblemente no todos los archivos estén encriptados.

Otra solución que se podría intentar, es apagar el PC y conectar el disco cómo esclavo a una máquina limpia. Ver si se pueden recuperar los archivos.
Mientras siga corriendo el programa en el PC infectado, más y más archivos estarán en riesgo.


Tony.
 
  • Me gusta
Reacciones: avercros y Kurai
Toooooony dijo:
Yo me pregunto ¿Qué pasará si uno hace restauración del sistema?

Tony.
Haz clic para expandir...

Entre las soluciones que leí, decían lo de restaurar sistema, posiblemente funciona o funcionaba, pero vi más útil la otra.

Por cierto, gracias por la explicación, insisto en que tuve algo de suerte ya que la dueña del portátil me llamó ligero y lo tuve aislado negando la ejecución del virus antes que encriptara los archivos y borrara la copia del sistema.
 
Última edición:
  • Me gusta
Reacciones: avercros

Los últimos mensajes

Los últimos temas

Arriba Pie
Atrás