Ransomware: GPCode ataca de nuevo
Nicolas Brulez
Kaspersky Lab Expert
Posted March 25, 21:05 GMT
0.4
En noviembre de 2010, publicamos una entrada del blog sobre una nueva variante del programa chantajista Gpcode.
Kaspersky Lab descubrió una nueva variante en la forma de un ejecutable ofuscado. Puedes ver los datos técnicos abajo para más información. Detectamos esta amenaza de forma automática gracias a Kaspersky Security Network como UDS:DangerousObject.Multi.Generic.
También hemos agregado a nuestra base de datos una detección específica contra esta amenaza: Trojan-Ransom.Win32.Gpcode.bn.
La infección se logra cuando el usuario visita un sitio web malicioso. (descarga “drive-by”, que se realiza sin necesidad de la interacción del usuario).
Al ejecutarse, el programa chantajista GPCode genera una clave AES de 256 bits (usando Windows Crypto API), y utiliza la clave pública RSA 1024 para codificarlo. El producto codificado se descarga en el Escritorio del ordenador infectado, dentro del archivo de texto con la amenaza:
Es importante destacar que, a diferencia de la muestra del noviembre pasado, los atacantes piden que les pagues con tarjetas pre-pagadas Ukash. El programa chantajista que descubrimos ayer, que se hacía pasar por una alerta de la Policía Federal de Alemania, también pedía cupones de Ukash.
Parece que los criminales se están distanciando de las viejas transferencias de dinero y ahora prefieren las tarjetas pre-pagadas. El precio aumentó de 120 a 125 dólares.
Además, el programa cambia el fondo del escritorio para que incluya un mensaje explicando que el usuario está infectado y debe pagar para que se restablezca su ordenador a su estado original.
Mientras tanto, el programa malicioso busca archivos para codificar en los discos duros del usuario. Un archivo de configuración codificado contiene las extensiones de archivos que ayudan al programa a seleccionar los archivos que debe y no debe codificar. Esto significa que el programa chantajista GPCode puede actualizarse sin dificultad con un nuevo archivo de configuración. Este también incluye la carta amenazadora y la clave pública RSA 1024 de los criminales.
Datos técnicos:
El ejemplar que descubrimos el 10 de noviembre de 2010 se comprimió con UPX. En este nuevo ejemplar, también se utiliza UPX, pero no por sí sólo. De hecho, los criminales están usando un protector de archivos predeterminado para retrasar el análisis y la Ingeniería Reversa. Así se ve el punto de entrada comprimido:
Tardaríamos demasiado en describir el proceso completo de descompresión, pero se utilizan las técnicas estándar de los compresores maliciosos modernos y técnicas de ofuscación para proteger el programa chantajista.
Al descomprimirlo, el ejemplar es muy similar al que vimos en noviembre. La sección de recursos del archivo tiene incrustado un archivo de configuración codificado. Así se ve al decodificarlo:
Borramos el parámetro “N”. El parámetro es un número de 1024 bits. Es importante recalcar que es diferente al de noviembre.
Por último, esta es una captura de pantalla de alrededor del punto de entrada descomprimido, donde se realiza la generación de llaves:
¿Qué debería hacer si este programa infecta mi equipo?
Si crees que estás infectado, te recomendamos que no realices ningún cambio en tu sistema, ya que esto puede evitar que recuperemos tus datos si encontramos una solución. Es seguro apagar tu ordenador o reiniciarlo y, a pesar de que el escritor del virus amenaza con eliminar los archivos después de cierta cantidad de días no hemos detectado ningún mecanismo para eliminar archivos basándose en un tiempo concurrido. Sin embargo, es mejor evitar cualquier cambio en el sistema de archivos que, por ejemplo, se pueda causar al reiniciar un ordenador.
Debes conocer el problema y aprender a reconocer a GPCode desde el primer momento en el que aparecen las advertencias en tu pantalla. ¡El presionar el botón para reiniciar o apagar tu ordenador puede salvar muchos de tus datos!
¡No dudes en apagar tu ordenador o desconectarlo si es más rápido!
Los archivos codificados no se pueden recuperar debido a la fuerte criptografía que se está utilizando.
La única forma de recuperar tus datos es con copias de seguridad.
Ransomware: GPCode ataca de nuevo