Resumen
El nuevo malware que apareció en el 2013 con los nombres de CryptoWall, CryptoLocker y CryptoFortress; usan el encriptado para “secuestrar” digitalmente los archivos de su víctima pidiendo de esta una recompensa monetaria, las victimas normalmente solo eran empresas de las cuales fácilmente lograban su cometido, pero ahora no solo se limitan a “secuestrar” empresas, se tienen datos que ahora sus víctimas ya son los usuarios comunes. En este contexto se dará a conocer su forma de operar, como identificarlos, cuáles son sus víctimas más comunes y como protegerse de este nuevo malware. Todo este proceso se realizo bajo entornos virtuales, ningún ordenador físico salió dañado.
Introducción
Con forme los años pasan las nuevas tecnologías son cada vez mas sorprendentes no es de extrañar que las amenazas también lo fueran, las nuevas tecnologías requieren también que las formas de protegerse sean aun mejores y mas innovadoras. Nuestro fin es analizar y comprender mejor el trabajo de este tipo de malware y como protegerse con el fin de evitar daños posteriores.
Métodos
Las metodologías utilizadas fueron: sistemas virtuales con el fin de evitar daños al hardware. La prueba del malware se hizo en un sistema operativo Windows 7 Ultimate, creado mediante una unidad virtual usando el programa Oracle VirtualBox.(FIG. 1)
VirtualBox con Windows 7 creado.
Figura 1. VirtualBox con Windows 7 creado.
Resultados
Con las pruebas realizadas llegamos al resultado, que los pasos realizados por el malware para infectar son los siguientes:
- Primero localiza los archivos no ejecutables. Es decir, localiza archivos de texto, fotos, documentos, etc. Esos son los archivos que serán cifrados.
- Se crea una clave simétrica aleatoria para cada archivo.
- Se cifran los archivos con dichas claves simétricas aleatorias.
- Se cifra la clave simétrica aleatoria de cada archivo con un algoritmo simétrico RSA. Esta clave se añade al archivo de cifrado.
- Cada archivo cifrado sobrescribe al original, impidiendo su recuperación con técnicas forenses.(Fig.2)
Pasado la etapa de infección y encriptado los poseedores de la única clave de acceso a los archivos parecen ser los delincuentes quienes piden una recompensa en efectivo en el lapso de un tiempo aleatorio para cada víctima.(Fig.3)
Una vez terminado de cifrar los archivos los delincuentes nos permiten descifrar un solo archivo para convencernos que ellos van enserio.
El pago del “rescate” para los archivos se hace mediante el uso de BitCoin´s generada por una URL distinta para cada afectado, si el afectado desconoce el uso de esta moneda y como pagar, los delincuentes cuentan con una sección de FAQs (preguntas frecuentes) y otra página didáctica en la que explican todo el proceso de compra y pago con BitCoin´s.
Se recomienda no hacer ningún pago a los delincuentes y recurrir a software gratuito que se puede encontrar al final de este contexto, pero esto no asegura la recuperación de los archivos en su totalidad. Si usted se decide por el pago de rescate de los archivos deberá de hacerlo realizando una petición al Banco Central de Bolivia, ya que el pasado 6 de mayo del 2014 el Banco Central de Bolivia prohibió el uso de monedas no emitidas o reguladas por los estados y prohibiendo así el uso del BitCoin.
Advertencia del malware, mostrando el resultado final del encriptado.
Figura 2. Advertencia del malware, mostrando el resultado final del encriptado.
Aviso de compra del descifrado para restaurar los archivos
Figura 3. Aviso de compra del descifrado para restaurar los archivos
Si en caso lograse realizar el pago pedido de los delincuentes, los delincuentes le otorgaran una URL de la cual se podrá descargar el programa para quitar el encriptado de los archivos “secuestrados”, este software puede contener otro malware que por ejemplo puede activar al malware original después de cierto tiempo, o simplemente el programa no quita el encriptado de los archivos, se llego a conocer casos en los que una empresa desconocida fue víctima del malware en reiteradas veces y no haciendo una previa copia de seguridad tuvieron que realizar el pago todas las veces que fueron víctimas; se recomienda el uso de Copias de Seguridad externas a la computadora.
Qué hacer si fue víctima del malware citado
El primer paso es deshacerse de todo rastro del malware usando software dedicado a ese tipo de trabajo. En nuestro caso optamos por usar Kaspersky Recue Disk que elimina todo rastro del virus sin tener que pasar por Windows. (Fig.4)
Software dedicado a eliminar el malware, Kaspersky Rescue Disk
Figura 4. Software dedicado a eliminar el malware, Kaspersky Rescue Disk
Como protegerse del malware
La forma de evitar el contagio de este malware en primera línea es el propio usuario al no abrir vínculos desconocidos ni archivos adjuntos, tener el antivirus actualizado no asegura la protección del malware, también podemos recurrir al software CryptoPrevent(Fig.5), que quita los permisos aprovechados por el malware.
Cryptoprevent en su estado de ajuste.
Figura 5. Cryptoprevent en su estado de ajuste.
Conclusiones
El equipo de investigación y prueba llegaron a la conclusión que el malware descubierto por primera vez en el año 2013 rompió los limites de los malware predecesores, ya que antes de este tipo de malware los demás solo se dedicaban a la corrompimiento de los archivos y la desestabilización del sistema operativo, este malware dio un paso adelante a la delictividad ya que desde el anonimato pretende generar ingresos monetarios a través del secuestro de archivos.
Proyecciones
Una vez realizado todo el estudio y pruebas de campo, queremos proponer la implementación del software de seguridad llamado Cryptoprevent y que los gobiernos tengan en mente la regularización de la moneda llamada BitCoin para así dar caza a los delincuentes cibernéticos.
Referencias y bibliografía
- http://articulos.softonic.com/cryptolocker-cryptowall-cryptofortress-eliminar-desencriptar
- http://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html