Inicio de zonavirus, antivirus

SUFRIENDO LOS EFECTOS DEL RANSOMWARE CRIPTOBIT

msc hotline sat
Tuesday, May 3, 2016

Como sea que ayer tuvimos varias incidencias sobre este ransomware que apareció en ordenadores de nuestros usuarios a mediados de Abril 2016, hemos buscado información correspondiente y encontrado en Internet esta que consideramos profesional y que puede ser de utilidad a los interesados al respecto.



Dicha información proviene de PandaLabs, el laboratorio anti-malware de Panda Security, quienes informan que hace pocos días toparon con un “ransomware” que, por su novedad y características, resultó lo suficientemente interesante como para mostrar su funcionamiento. El nombre que se eligió para él es “CriptoBit”. Si lo comparamos con otros “ransomwares” conocidos hasta el momento, “CriptoBit” es único en su especie. No solo por la pantalla diferenciadora que presenta al usuario solicitándole el rescate de sus ficheros, sino por otras características que detallaremos a continuación.





Muestra analizada.-



La muestra analizada se encuentra protegida gracias a un “packer” propio y, tras desempaquetarla, podemos apreciar, además de una fecha de compilación reciente (5 de Abril de 2016 a las 12:20:55 PM), la ausencia - prácticamente total- de cadenas de texto, indicios evidentes de que el autor de “CriptoBit” ha querido dificultar el análisis de su código.





Distribución.-



Tras analizar los datos proporcionados por los “sistemas de inteligencia colectiva” de Panda Security, se determinó que el vector utilizado para distribuir ”CriptoBit” es el uso de “Exploits Kits” que afectan a diferentes navegadores web.



Comportamiento.-



Una vez desempaquetada y analizada la muestra, podemos determinar con más precisión la funcionalidad básica de “CriptoBit”:





¿Cómo se comporta el ransomware?.-



Lo primero que hace “CriptoBit” es comprobar los idiomas configurados para el teclado. Si el teclado está configurado con uno de los siguientes códigos: 0x1a7, 0x419 (Russian) o 0x43f (Kazakh), el programa terminará sin cifrar ningún fichero. Tras comprobar que el teclado no está en su “blacklist”, “CriptoBit” empezará a recorrer todas las unidades de disco locales, carpetas de red, y unidades removibles (USB), en busca de ficheros que contengan alguna de las extensiones por las cuales se interesa. ¿Con qué objetivo? Cifrar el contenido completo del fichero (otra característica peculiar) para poder solicitar posteriormente su rescate. En concreto “CriptoBit” se interesa por las siguientes extensiones de ficheros:



ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip



Una vez finalizado el proceso de cifrado de ficheros, el usuario podrá ver cómo le “aparece en su equipo” una ventana similar a la mostrada a continuación:



http://altadensidad.com/wp-content/uploads/2016/04/image002.jpg





En este mensaje vemos algunos detalles que llaman la atención y que pueden servir para clasificar este nuevo “ransomware”:





El ID mostrado “58903347”.-



Para la muestra analizada, éste valor resulta ser siempre el mismo. No importa si se ejecuta este Malware en repetidas ocasiones, o si se hace en diferentes equipos. Esto hace pensar que nos encontramos con un ID de “ransomware” más que de usuario (o equipo).





La cantidad de “bitcoins” a pagar.-



Por lo general, las cantidades exigidas, o bien son fijas, o tienen un límite razonable, pero en este caso, vemos que el autor (o autores) de esta muestra solicitan un rescate “un poco” abusivo.





La forma de contacto.-



En este caso no existe un servidor web accesible a través de una URL, tampoco se le pide al usuario nada en concreto, o al menos se desconoce de entrada. Se pide al usuario que contacte con una dirección de correo (torrenttracker@india.com) de dudosa validez y, en el caso de no recibir respuesta, contactar con él utilizando una aplicación denominada “Bitmessage”; un “fork” de otra aplicación que podemos encontrar en “github”. Adicionalmente, y por si este mensaje no fuera suficiente para convencerle de que sus ficheros han sido cifrados, cada vez que éste acceda a una carpeta con alguno de estos ficheros ahora indescifrables, descubrirá allí también un par de ficheros “extra” creados de forma intencionada:



OKSOWATHAPPENDTOYOURFILES.TXT.-



Si visualizamos este fichero nos encontramos con el mismo mensaje (esta vez en formato texto) que se le mostró al usuario una vez finalizado el cifrado de sus ficheros.



sekretzbel0ngt0us.KEY.-



En este segundo fichero podemos ver una secuencia hexadecimal de longitud 1024 que, una vez decodificada, correspondería a una secuencia binaria de 512 bytes (o 4096 bits).

Más adelante, en el apartado de “Cifrado”, se mostrará cual es el sentido del fichero denominado “sekretzbel0ngt0us.KEY”, y la encriptación que ha sido utilizada para cifrar los ficheros.

Otra acción que realiza “CriptoBit”, ya de forma transparente para el usuario, es realizar una petición HTTP a:



http://videodrome69.net/knock.php?id=58903347



Nota: el script “knock.php” solicitado aparentemente no existe, por lo que se ignoran los motivos reales de esta última acción.



Cifrado de Ficheros.-



Para cifrar los ficheros, “CriptoBit” hace uso del algoritmo AES (“Advanced Encryption Estándar”) generando, en cada ejecución, una clave aleatoria de longitud 32 bytes (256 bits), lo cual hace prácticamente imposible descifrar los ficheros salvo que ésta sea conocida.

Para no perder esta clave y poder descifrar los ficheros si se paga el rescate, el autor de este “ransomware”, almacena la clave AES generada cifrada utilizando el algoritmo RSA.

La “clave pública” que elige es de longitud 4096 bits, y la podemos encontrar “hardcodeada” dentro de la muestra analizada. Una vez cifrada la clave AES con RSA, ésta se almacenará en los ficheros denominados “sekretzbel0ngt0us.KEY”, solamente comprensibles si se dispone de la correspondiente “clave privada” RSA, que en principio estaría únicamente en posesión por el autor de este cifrador.

Dentro de este apartado, un detalle que llama la atención es la ausencia de llamadas a librerías nativas para cifrar los ficheros utilizando RSA. “CriptoBit” hace uso de una serie de rutinas compiladas estáticamente que le permiten operar con números grandes (“big numbers”), reproduciendo de esta forma el algoritmo de cifrado RSA.





Conclusiones



El fenómeno “ransomware” no pasa de moda y nos encontramos a diario con muestras nuevas que nos siguen sorprendiendo. En este caso no tanto por el uso de “criptografía seria” (AES + RSA), algo que está estandarizándose cada vez más, sino por lo ambicioso del mismo, su buen diseño, y las ideas interesantes que hemos podido apreciar en él. Como siempre, nuestra recomendación para personas es que mantengan sus soluciones de seguridad informática y antivirus actualizados y realice con periodicidad “backups” de sus archivos ficheros importantes; y para empresas, combinar sus soluciones de seguridad informática con sistemas de protección avanzada que le permitan clasificar todos los procesos en ejecución y detener, antes de que se ejecuten ataques del tipo ransomware, como CriptoBit.



Ver información original al respecto en Fuente: http://altadensidad.com/?p=88079





Complementando esta información, recordamos que al final de nuestra anterior noticia al respecto ofreciamos enlace de descarga de la utilidad de BitDefender con la que emular teclado ruso y evitar con ello el cifrado de este ransomware, al igual que el del Cryptowall4 que es para el que se hizo inicialmente dicha utilidad:



http://www.satinfo.es/blog/2016/llegan-nuevas-incidencias-con-el-ransomware-criptobit/





saludos



ms, 3-5-2016

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus
© 1998-2024 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto