Nueva variante de Ransomware ZeroLocker con errores que pueden impedir la recuperacion de ficheros incluso pagando el rescate

---

Recuperar archivos cifrados por ZeroLocker podría ser imposible



En fechas recientes se ha detectado mucha actividad relacionada con ransomware, este software permite a los atacantes cifrar los archivos de las víctimas y pedir rescate para recuperar la información.



ZeroLocker es un ransomware que surgió recientemente y cuya presencia ha aumentado, sin embargo hay indicios de que la configuración del C&C tiene algunos errores que impedirían el descifrado exitoso de los archivos comprometidos, es por eso que se ha solicitado a las víctimas no pagar la cantidad solicitada por los creadores del malware para supuestamente recuperar los archivos originales.



De acuerdo a la red de seguridad de Kaspersky, el número de detecciones de este software malicioso es pequeño en comparación con otras muestras. Los atacantes solicitan a las víctimas de ZeroLocker el equivalente a 300 dólares en bitcoins para descifrar los archivos, sin embargo esa cifra se puede incrementar a 600 o 1,000 dólares con el paso del tiempo.



ZeroLocker añade una extensión .encrypt a todos los archivos que cifra y, a diferencia de la mayoría de las muestras de ransomware, ZeroLocker cifra prácticamente todos los archivos en el sistema. En lugar de cifrar únicamente un conjunto de archivos con ciertas extensiones predefinidas por el atacante, ZeroLocker evita cifrar archivos con un tamaño mayor a 20 MB o archivos que se encuentren en los directorios "Windows", "WINDOWS", "Program Files", "ZeroLocker" o "Desktop". El malware es ejecutado al arranque del sistema desde la ruta C:\ZeroLocker\ZeroRescue.exe.







Aunque hay datos de un monedero para bitcoins en el binario, el malware intenta obtener la dirección de un nuevo monedero a través del C&C, es probable que esta acción se realice para hacer más difícil rastrear a dónde va el dinero. Dado que la información referente al monedero donde se almacenarán los bitcoins es proporcionada por el C&C, es posible que los atacantes utilicen un monedero diferente para cada víctima.



El malware utiliza AES para generar una llave aleatoria de 160 bits y así realizar el cifrado, sin embargo, la forma de generar la llave provoca que el espacio de las posibles claves sea un poco limitado aunque todavía lo suficientemente grande como para hacer inviable un ataque de fuerza bruta. Después del cifrado, el malware ejecuta la utilidad cipher.exe para eliminar todos los datos no utilizados, haciendo la recuperación de archivos más difícil. Posteriormente son enviados al servidor la clave de cifrado junto con un CRC32 de la dirección MAC del equipo infectado y el monedero de bitcoins asociado a esa víctima.



Curiosamente, la clave de cifrado junto con los otros datos son enviados a través de una petición GET en lugar de POST. Al recibir los datos se genera un código 404 por parte del servidor, lo que probablemente significaría que el servidor no está almacenando la información y que posiblemente las víctimas que pagaron para restaurar sus archivos no puedan recuperarlos.



Varias URL a las que el malware intenta conectarse devuelven códigos de respuesta 404, lo que indica que este módulo aún se encuentra en una etapa inicial, cuando los errores existentes en la muestra actual se corrijan es probable que la propagación de ZeroLocker sea mayor.



Este tipo de fraudes son populares ya que la gente paga el rescate. De acuerdo a Kaspersky Lab es recomendable no hacerlo, en su lugar es mejor asegurarse de tener un respaldo de la información.



Kaspersky detecta las muestras de ZeroLocker bajo el nombre Trojan-Ransom.MSIL.Agent.uh.



Ver mas informacion al respecto en Fuente:



http://www.seguridad.unam.mx/noticia/?noti=1884



saludos



ms, 20-8-2014