¡Cryptolocker quiere tu dinero!

Es posible que hayas leído sobre el programa malicioso Cryptolocker, un nuevo troyano secuestrador que codifica tus archivos y te pide dinero para devolvértelos.

Hace bastante tiempo nos referimos a un programa malicioso similar al el famoso GPCode, que usaba llaves RSA para la codificación. En 2008 desciframos la llave RSA 660 bit que GPCode usaba, y les proporcionamos a sus víctimas un método para decodificar y recuperar sus datos. Después, los autores de GPCode aumentaron la llave RSA a 1024 bits, lo que la colocaba en el exclusivo reino del poder de desciframiento de la NSA.

Cryptolocker también posee un sólido esquema de codificación que parece indescifrable. Para cada víctima, se conecta con su servidor de comando y control (C2) para descargar una llave RSA pública usada para cifrar los datos. Para cada nueva víctima se crea una llave única y sólo los autores de Cryptolocker tienen acceso a las llaves descifradoras.

Los ciberdelincuentes te dan unos tres días para pagarles, de lo contrario tu información desaparecerá para siempre. Para el pago existe una multitud de opciones, incluyendo Bitcoin:

Para asegurarse de que su víctima recibe el mensaje, colocan un atemorizador fondo de pantalla en el equipo capturado:

Para conectarse a los servidores C2, Cryptolocker emplea un algoritmo de generación de dominios que produce 1000 posibles nombres de dominio públicos cada día.
Dimiter Andonov, de ThreatTrack Security, aplicó ingeniería inversa al algoritmo y Kaspersky Lab drenó tres dominios para calcular la cantidad de víctimas en todo el mundo.
En total, se contaron 2764 IPs de víctimas únicas que se contactaron con los dominios drenados.

La mayor cantidad se registró el miércoles 16 de octubre, con 1266 IPs únicas.

La siguiente imagen muestra el Top 30 de víctimas por país. Los países más afectados son Reino Unido y Estados Unidos, seguidos por India, Canadá y Australia:

Cabe señalar que estos datos estadísticos se refieren a la cantidad de víctimas cuyos archivos no estaban codificados aún. Si actúan con rapidez tras la infección y limpian su sistema con una herramienta antimalware, entonces es posible que sus archivos no lleguen a codificarse.

Estrategias de defensa

Cryptolocker utiliza una metodología sólida para codificar archivos y se asegura que las versiones no codificadas no se puedan recuperar con herramientas como Photorec. La mejor estrategia consiste en asegurarse de ejecutar una solución antimalware actualizada y capaz de neutralizar la infección. El sistema Host Intrusion Prevention System de Kaspersky Lab es capaz de neutralizar incluso las versiones desconocidas de este troyano.

Para realizar un análisis gratuito de tu sistema, puedes utilizar Kaspersky Rescue Disk:

1. Descarga la imagen ISO de Kaspersky Rescue Disk 10 (kav_rescue_10.iso).
2. Descarga Kaspersky Rescue Disk Maker (rescue2usb.exe).
3. Mira la documentación en Knowledgebase.
Los productos de Kaspersky Lab detectan las variantes más conocidas del programa malicioso Cryptolocker con los siguientes veredictos:

Trojan-Ransom.Win32.Blocker.cfkz, Trojan-Ransom.Win32.Blocker.cmkv,
Trojan-Ransom.Win32.Blocker.cggx, Trojan-Ransom.Win32.Blocker.cfow,
Trojan-Ransom.Win32.Blocker.cjzj, Trojan-Ransom.Win32.Blocker.cgmz,
Trojan-Ransom.Win32.Blocker.cguo, Trojan-Ransom.Win32.Blocker.cfwh,
Trojan-Ransom.Win32.Blocker.cllo, Trojan-Ransom.Win32.Blocker.coew.

Si tu información ya está codificada, lo peor que puedes hacer es pagarle a los ciberdelincuentes. Esto sólo los impulsará a seguir con su delito y a mejorar sus técnicas de ataque.

Como siempre, es mejor prevenir que lamentar.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *