Uno de los últimos miembros en unirse a la familia del malware fue el ransomware: programas que no pretenden pasar desapercibidos para destruir o robar archivos… sino que los encriptan (o bloquean el acceso al dispositivo) y se dan a conocer exigiendo grandes sumas de dinero para desbloquearlos; Cryptolocker o “el virus de la Policía” serían ejemplos de ransomware… y tienen nueva compañía.
El mes pasado, Microsoft hizo público el descubrimiento de una nueva (y sofisticada) variedad de ransomware, llamada Critroni.A, Onion-Locker o CTB-Locker. “CTB” son las siglas de las 3 tecnologías que sustentan este programa: ‘Curve’ (por la criptografía de curva elíptica), ‘TOR’ y ‘Bitcoin’:
- La criptografía de curva elíptica es la usada para cifrar los archivos de los usuarios: su fortaleza hace virtualmente imposible desbloquear el acceso a los archivos sin pagar ‘el rescate’.
- TOR es una red creada para garantizar el anonimato de sus usuarios, y que ha sido usada masivamente por todo tipo de activistas (aunque también tiene un historial de relación con actividades ilegales: era el sistema de acceso a Silk Road, el ahora desaparecido mercado online de estupefacientes). En CTP-Locker es usada para salvaguardar el anonimato de las comunicaciones entre los crackers y su software, y dificultar así la localización de los servidores donde se alojan los archivos.
- Bitcoin, por otra parte, es la moneda criptográfica de moda y el medio de pago elegido por los crackers como medio para dificultar que las autoridades sigan el rastro del dinero. La cantidad a abonar para rescatar los archivos suele ser de 0,2-0,5 BTC, y el margen temporal para hacerlo, de 3 días. Los criminales tienen además el detalle de incluir instrucciones sobre cómo adquirir bitcoins y pagar con ellos.
“Esconder los servidores de control y comando en una red anónima TOR dificulta la búsqueda de los criminales. Así mismo, la utilización de este tipo de cifrado tan poco ortodoxo hace virtualmente imposible descifrar los archivos, incluso cuando el tráfico es interceptado entre los troyanos y el servidor. Esto convierte a este tipo de amenaza en una de las más peligrosas y avanzadas que existe“, afirma Fedor Sinitsyn, analista Senior de Malware en Kaspersky Lab, en el blog de su compañía.
La infección y cómo actuar
La infección del CTB Locker suele tener lugar a través de descargas en webs porno o de descargas. Una vez en nuestro ordenador (afecta a todas las versiones modernas de Windows) se almacenará con un nombre al azar dentro de un directorio temporal, escaneará nuestras unidades de almacenamiento en busca de ciertos tipos de archivo, los cuales cifrará, creando en el proceso nuevos archivos de extensión *.ctbl. Una vez finalizado el escaneo de nuestras unidades, se mostrará la siguiente pantalla de rescate:
Si nuestro equipo está infectado, lo primero que debemos hacer es pasar nuestro antivirus (que deberemos tener actualizado) y eliminar todos los ejecutables del directorio %Temp%, así cómo forzar la finalización de cualquier proceso en ejecución sospechoso, usando el Ctrl+Alt+Supr.
Todo esto, sin embargo, no ayudará a descifrar nuestros archivos: los ataques de fuerza bruta no son factibles (harían falta varios años para descifrarlos) y sólo tendremos la opción de restaurar copias de seguridad que tuviéramos preparadas previamente.
Imagen | Wikimedia
from TICbeat http://ift.tt/1skBgQD
