Inicio / Blog / RANSOMWARE II: Malware de cifrado

RANSOMWARE II: Malware de cifrado

Publicado el 28/11/2013, por David Cantón (INCIBE)
Ransomware de cifrado

Continuando con la serie de entradas sobre Ransomware que iniciamos hace unas semanas, y para mostrar las diferentes maneras de infección y cómo afectan a los sistemas infectados, describiremos algunos ejemplos representativos de este tipo de amenazas. Además, describiremos algunos ejemplos de malware en orden cronológico con lo que se podrá ver la evolución y sofisticación del ransomware de cifrado a lo largo del tiempo.

El llamado ransomware de cifrado fue el primer tipo de ransomware del que se tiene constancia, las primeras notificaciones de éste malware tuvieron lugar a finales de los años 80. Uno de los primeros ejemplos fue el troyano «JPC Cyborg», el cual aparece registrado en diciembre de 1989 en un boletín de la CIAC www.securityfocus.com/advisories/700 (Enlace no disponible actualmente) (The Computer Incident Advisory Capability). La CIAC fue el primer equipo de respuesta ante incidentes de seguridad informática, el cual dependía del Departamento de Energía de los Estados Unidos y fue precursor de los actuales CERT. En dicho informe, la CIAC describe este malware como un troyano que infectaba a PCs IBM y compatibles sustituyendo el archivo autoexec.bat del sistema. Después, el sistema era reiniciado un número determinado de veces para luego ocultar todos los directorios y cifrar los nombres de los archivos del disco C: .Por último, se le solicitaba al usuario un pago a la «PC Cyborg Corporation» para desbloquear el sistema. Este malware se propagaba mediante la utilización de disquetes que se recibían por correo con el nombre de «AIDS Information Introductory Diskette». Debido a esto, la expansión fue limitada aunque se enviaron varios miles de disquetes. El foco inicial de propagación fue Europa, aunque también llego a propagarse a los Estados Unidos.

En el año 2005 este tipo de amenaza volvió a resurgir, siendo el gusano «Gpcode» y la familia de malware a la que dio nombre. La versión detectada en el 2005 tenía como objetivo cifrar todos los archivos con determinadas extensiones (xls, doc, txt, rtf, zip, rar, dbf, htm, html, jpg, db, db1, db2, asc, pgp), borrando los originales y por ultimo creando un archivo de texto donde indicaba la forma de ponerse en contacto con el atacante. El algoritmo de cifrado usado por Gpcode es bastante simple, está basado en operaciones de suma de los datos del archivo original con una clave de cifrado de un byte. El valor original de la clave de cifrado es 58 (0x3a) y se modifica utilizando 2 bytes fijos de valor 37 (0x25) y 92 (0x5C) después de cifrar cada byte.

gpcode

Archivo ATTENTION!!!.TXT del Gpcode

Posteriores variaciones de «Gpcode» mejoraron los métodos de cifrado que usaban:

· Gpcode.AG, versión que marcó un hito en el cibercrimen al empezar a usar el cifrado asimétrico, concretamente usaba RSA con claves de 660 bits.

· Gpcoder.G (2010), mejoró el método de cifrado usando RSA con claves de 1024bits.

· Gpcode.ak, que cifra los archivos con RC4 usando claves generadas aleatoriamente que son posteriormente cifradas con una clave publica RSA de 1024 bits.

· Gpcoder.E , que además de cifrar los datos del usuario, abre una puerta trasera de acceso.

 

 

pgcode ransomware note

Mensaje de rescate del GPcode.G o Ramson.cy

Otro malware interesante es el troyano Archiveus, fue detectado en Mayo del 2006. Su principal elemento diferenciador es que, en vez de cifrar los archivos uno a uno, los va copiando a un único archivo llamado «EncryptedFiles.als» sin cifrar y luego borra los originales. Además, el troyano generaba nuevas entradas en el registro de Windows para asociar la extensión «*.als» a un ejecutable que solicitaba una contraseña para su apertura. El malware también genera un archivo con los datos de contacto para pagar el rescate, así como un archivo «Demo.als» para "mostrar" al usuario que los datos se pueden recuperar. Debemos comentar que, poco tiempo después de su detección, se anuncio que se había «roto» el código del programa y se consiguió la contraseña, que era única para todos los sistemas afectados.

Archiveus

Ficheros creados por Archiveus

troyano archiveus

Troyano Archiveus

Otros malware destacables son:

· Las diferentes versiones del troyano Krotten, las cuales cifraban la carpeta de instalación de Windows y modificaban la configuración del registro de Windows, impidiendo el acceso a los discos duros locales, al panel de control o al administrador de tareas, entre otras funciones.

· Cryzip (2006), que es un troyano que comprime con una contraseña todos los archivos que tengan determinadas extensiones, generando los archivos [nombre de archivo]_CRYPT_.ZIP, para después borrar los originales que previamente habían sido sobrescritos con la cadena de texto «Erased by Zippo! GO OUT!!! », para evitar su posible recuperación. La contraseña usada para comprimir los archivos en la versión inicial es «C:\Program Files\Microsoft Visual Studio\VC98».

Uno de los últimos reportes de ransomware de cifrado ha sido el CryptoLocker (2013), en esta variante se puede observar una gran evolución en el método de cifrado al usar cifrado asimétrico con la generación de las claves públicas y privadas en un servidor. El procedimiento de una vez infectado el sistema de CryptoLocker es el siguiente:

1. CryptoLocker se instala en la carpeta «Documents and Settings» usando un nombre generado aleatoriamente y se agrega a la lista de programas que se cargan automáticamente, modificando el registro de Windows.

Ransomware cryptolocker registro

2. Después de instalarse, genera una lista aleatoria de direcciones de servidores con los dominios .biz, .co.uk, .com, .info, .net, .org y .ru.

3. En este punto, CryptoLocker intenta establecer una conexión web con cada uno de los nombres de los servidores, uno por segundo, hasta que encuentre uno que responda.

4. Una vez encontrado un servidor que responde, el programa genera un archivo que se puede asimilar a un identificador de CryptoLocker en el ordenador afectado y posteriormente lo envía al servidor.

5. El servidor, usando el identificador que ha recibido, genera un par de claves pública-privada para después enviar únicamente la clave pública al ordenador comprometido.

6. El malware usa esta clave pública para cifrar los archivos que encuentra con un listado de extensiones predefinidas, especificadas como imágenes y documentos.

ransomware cryptolocker extensiones a cifrar

7. Por último, el malware muestra una ventana de pago ofreciendo un tiempo limitado, normalmente 100 horas, para recuperar la clave privada y de este modo recuperar sus datos, o el malware precederá a eliminarlos.

Mensaje de rescate de CryptoLocker

Mensaje de rescate de CryptoLocker

Como se puede apreciar gracias al esquema de funcionamiento utilizado por el malware el cifrado es bastante robusto (las claves usadas son de una longitud considerable (2048 bits), la clave privada solo reside en el servidor y cada ordenador infecto tiene una clave publica diferente), con lo que descifrar los datos puede considerarse altamente improbable de conseguir. Recientemente la un departamento de policía de Massachusetts tuvo que pagar un rescate de 750$ en bitcoins para recuperar informes policiales y fotos de sospechosos

Cabe destacar que esta familia de malware no cesa en su continua evolución, mejorando los métodos de cifrado, de infección y de cobro del rescate. Una de las ultimas evoluciones de este ransomware es la creación de una página web para el pago del rescate, básicamente el usuario atacado subiría los primeros 1024 bytes de uno de los archivos encriptados por el malware y le facilitarían in identificador par que en las siguientes 24 horas pueda comprobar le estado de su petición. Una vez procesada la petición se le solicitaría a la persona extorsionada el pago de 10 bitcoin para la obtención de la clave privada con la que podría recuperar los datos de su ordenador. Las fuerzas de seguridad de los países están intentando cerrar esta página, pero la pagina cambia de país donde reside el alojamiento (Rusia, Kazajistán) en cuanto se clausura el servidor, además la pagina también estaría disponible a través de la red Tor.

CryptoLocker Decryption Web Service

CryptoLocker Decryption Service

Por último, debido a la diferente forma de propagación merece mencionarse los ataques de ransomware a través del protocolo RDP. Durante el primer semestre del año 2013, se reportaron varios incidentes en los que varias empresas que fueron atacadas por el malware. Encontraban sus sistemas bloqueados y todos sus datos cifrados (empaquetados en formato RAR con contraseña) y con una demanda de pago de hasta varios miles de dólares por desbloquear los archivos afectados. Como principal diferencia respecto a los otros ejemplos descritos, está en la forma de infección, en lugar de utilizar vulnerabilidades en los navegadores web se cree que el ransomware era instalado manualmente por un atacante remoto que había conseguido previamente acceso al sistema mediante un ataque de fuerza bruta contra servidores Windows y configuraciones de RDP (Remote Desktop Protocol), servidores vulnerables o aprovechando alguna vulnerabilidades del RDP. Una vez el atacante accede mediante RDP tendrá acceso a todo el sistema, pudiendo deshabilitar el antivirus y ejecutar el malware para cifrar los datos y generar avisos de rescate.

Mensaje de Rescate de un ataque RDP

Mensaje de Rescate de un ataque RDP (Dr. Web Antivirus)