CryptoLocker

CryptoLocker es un malware tipo troyano dirigido a computadoras con el sistema operativo Windows que se popularizó a finales de 2013. El CryptoLocker se distribuye de varias formas, una de ellas como archivo adjunto de un correo electrónico. Una vez activado, el malware cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red usando criptografía de clave pública RSA, guardándose la clave privada en los servidores del malware. Realizado el cifrado, muestra un mensaje en pantalla, en el cual ofrece descifrar los archivos afectados, si se realiza un pago antes de una fecha límite (a través de Bitcoins o con vales pre-pagos), y menciona que la clave privada será destruida del servidor, y que será imposible recuperarla si la fecha límite expira. Si esto ocurre, el malware ofrece la posibilidad de descifrar los datos a través de un servicio en línea provisto por los operadores del malware, con un precio en Bitcoin mucho más alto. A pesar que el malware es fácilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible de descifrar.

A lo largo de la tarde no he parado de recibir peticiones de ayudas desde varias organizaciones y empresas debido a una masiva infección mediante ‘CryptoLocker’.
La fisonomía del ataque se aleja de los típicos correos mal escritos y que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado.
El dominio que están empleando (al menos en algunos de esos e-mails) es correos24.net
Como se puede ver en el whois:
Domain Name: CORREOS24.NET
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
Whois Server: whois.reg.ru
Referral URL: http://www.reg.ru
Name Server: NS1.REG.RU
Name Server: NS2.REG.RU
Status: clientTransferProhibited
Updated Date: 03-dec-2014
Creation Date: 03-dec-2014
Expiration Date: 03-dec-2015
 
Es un domino que se ha creado hoy 3 de Diciembre.
Otro de los puntos que convierte esta amenaza en algo muy serio es el hecho de que, tras los correos hay una campaña OSINT previa para dirigir el ataque de forma selectiva a personas a quienes les llegan los correos a su nombre y apellidos.
Esto ayuda a dar credibilidad a dichos e-mails y en muchos casos la gente está descargando el Ransomware.
Los correos lucen tal que así

Como se aprecia, van PERSONALIZADOS con nombres y apellidos de las personas a las que pertenecen los correos.
Desde aquí instamos a bloquear el dominio correos24.net y recomendamos instalar Anti Ransom para prevenir infecciones.

Si se hace click en el enlace que propone el correo, llegamos a una URL tal que así:

http://correos24.net/login.php?id=76264463456

Y, si se cumple la máxima de que la IP sea Española (he probado con variantes de varios países) llegamos a una URL tal que así:

http://correos-online.org/5a99b6186605843b7fdbc19400439af4

Y luce de esta forma:

En caso de que la IP sea de otro país, nos lleva a Google.

Y al rellenar dicho captcha, se descarga al equipo un fichero ZIP que contiene el troyano.

El dominio correos-online.org se ha registrado igualmente el 2 de Diciembre:

Domain Name:CORREOS-ONLINE.ORG
Domain ID: D174700842-LROR
Creation Date: 2014-12-02T13:28:53Z
Updated Date: 2014-12-02T13:28:54Z
Registry Expiry Date: 2015-12-02T13:28:53Z
Sponsoring Registrar:null (R2011-LROR)
Sponsoring Registrar IANA ID: 1564

UPDATE: Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker. Reporte VT aquí

UPDATE II: David Reguera de buguroo me ha facilitado unas URLs con las muestras analizadas en malwr.com
https://malwr.com/analysis/Y2U1NTZiYTMxOTFhNDcwYWJjMmIxMzE5ZGY0YTY2M2U/
https://malwr.com/analysis/ZmVjYWI3NjZjODkwNDI0Njk3NjBjZDFjNmFkNTA2Yjc/
UPDATE III: Tal y como decía Marc Rivero, el cifrado se puede revertir empleando la herramienta ‘TorrentUnlocker’ que se puede descargar aquí pero para poder realizar el descifrado es necesario disponer al menos de un fichero sin cifrar y el mismo fichero cifrado.
UPDATE IV: Según puede leerse en los comentarios, la herramienta antes mencionada, realiza bien el primer paso (deducir la clave entre fichero cifrado / descifrado) pero parece que NO es capaz luego de descifrar el resto de ficheros. De hecho, si se le pide descifrar y que elimine los .encrypted, el resultado puede ser catastrófico (se borran los .encrypted y los originales NO están descifrados), perdiendo la posibilidad de descifrar
UPDATE V: He colgado una muestra del malware aquí
UPDATE VI: Mucha gente, ante la desesperación y urgencia por volver a la normalidad, está planteándose pagar el rescate pero tiene dudas sobre Bitcoin. Mi consejo es evitar en la medida de lo posible sitios como localbitcoins.com debido a que la tasa de conversión es MUY MALA. Donde más fácil y mejor tasa se encuentra, es en el cajero de Bitcoins del Centro comercial de Madrid ‘ABC Serrano’
UPDATE VII: Israel Córdoba de Aiuken nos hace llegar capturas de cómo usar el cajero de Bitcoins mencionado anteriormente.
Recomendamos NO PAGAR y tratar de esperar, ya que en muchas ocasiones se encuentra remedio, no obstante, entendemos qué, la criticidad de ciertos datos, pueda llevar a alguien a realizar el pago. No nos hacemos responsables de si luego esa transacción resulta fallida o hay más problemas

Extraido desde securitybydefault.com

2018-08-06T13:56:42+02:00

Related Posts

Posicionamiento Web Angal Informática

Expertos en Prestashop. Expertos en posicionamiento web SEO, Wordpress, tiendas online Woocommerce y tiendas online Prestashop.

Contacto

EXPERTOS EN PÁGINAS WEB

Nuestro objetivo es satisfacer las necesidades de nuestros clientes a través de un seguimiento muy cercano de los proyectos, ya sean páginas web WordPress con posicionamiento en buscadores, tiendas online Prestashop o Woocommerce, programas de gestión a medida o aplicaciones web. Atrae a tú público, aumenta tus visitas e incrementa tus ventas con Angal Informática.

EXPERTOS POSICIONAMIENTO SEO

INFORMACIÓN DE CONTACTO

  • C/ Alicante, 26, bajo
    12004, Castellón, España

  • +34 964 23 88 17
  • Lunes - Jueves: 08:00 - 18:00 horas
  • Viernes: 08:00 - 14:00 horas

  • Fondo Social Europeo | ECOJUP 2021

    La empresa ANGAL INFORMÁTICA SL ha sido beneficiaria del programa ECOJUP 2021 (Subvenciones para la contratación en prácticas de personas jóvenes cualificadas (AVALEM JOVES) en el marco del sistema nacional de garantía juvenil) cofinanciado por el Fondo Social Europeo. Con ayuda de este se ha creado empleo juvenil gracias a la Iniciativa de Empleo Juvenil por ellos promovida.

    Fondo Social Europeo | ECOGJU 2021

    La empresa ANGAL INFORMÁTICA SL ha sido beneficiaria del programa ECOGJU 2021 (Subvenciones para la contratación en prácticas de personas jóvenes cualificadas (AVALEM JOVES) en el marco del sistema nacional de garantía juvenil) cofinanciado por el Fondo Social Europeo. Con ayuda de este se ha creado empleo juvenil gracias a la Iniciativa de Empleo Juvenil por ellos promovida.

    ANGAL INFORMÁTICA SL ha sido beneficiaria del PROGRAMA DIGITALIZA-CV 2021, realizando el proyecto de implantación del teletrabajo en su centro de trabajo. El proyecto está cofinanciado por la Unión Europea y por el IVACE.