Cryptolocker

Cryptolocker es un malware del tipo ramsomware que se distribuye generalmente como un adjunto a un correo electrónico, aunque también puede aparecer mediante la instalación de software con apariencia de utilidades o actualizaciones.

Una vez activado, el malware procede a cifrar ciertos tipos de archivos almacenados en las unidades a las que tiene acceso el cliente infectado.

Esto incluye unidades extraibles (Pendrives, discos duros USB), unidades de red, archivos en la nube, etc.

Es por esto por lo que es especialmente peligroso para muchas organizaciones, con que uno solo de los equipos de la red, se infecte con este malware, todos los archivos a los que tiene acceso dicho equipo serán encriptados.

Funcionamiento

El malware, una vez se activa, crea un archivo con un nombre aleatorio en la carpeta Documentos del usuario infectado, agrega una clave en el registro de Windows para que se ejecute al encender el equipo, genera una clave RSA de 2048 bits que se envía a uno de los servidores de control del malware para almacenarla. A continuación comienza el cifrado de los archivos de datos que generalmente son documentos de Microsoft Office, documentos del tipo Open Document, archivos de Autocad, imágenes, etc.

Una vez se ha terminado de ejecutar el cifrado, se muestra un mensaje en pantalla, en el cual ofrece la clave para descifrar los archivos si se realiza un pago antes de la fecha límite. En dicho mensaje se remarca que si no se efectua el pago antes de la fecha señalada, la clave será borrada de los servidores del malware y para poder recuperar los archivos deberá usar un servicio en línea que proveen los creadores del malware con un precio sensiblemente más alto.

Debido a que los servidores de control de los atacantes pueden ser proxys, que luego se derivan a otros que están repartidos por multitud de paises, es muy difícil de rastrear.

El virus puede ser fácilmente eliminado, pero los archivos que ha encriptado son casi imposibles de descifrar.

En noviembre de 2013, los operadores de CryptoLocker crearon un servicio en línea que dice que permite a los usuarios descifrar sus archivos sin usar el programa ofrecido por CryptoLocker, y que también permite comprar la clave privada de descifrado después de haber expirado la fecha límite. El proceso consiste en subir un archivo cifrado al sitio como muestra, y esperar a que el servicio encuentre una coincidencia en sus registros, dicen que este proceso tarda unas 24 horas. Si encuentra una coincidencia, el sitio ofrece la posibilidad de realizar el pago desde el sitio web; si la fecha límite ya expiró, el costo se incrementa a 10 Bitcoin (un precio estimado de US$ 10000). Aunque pueda parecer que est es una solución, tenemos que tener en cuenta que estos sitios están operados por los creadores del malware, con lo que aunque hagamos efectivo el pago del rescate, no vamos a poder recuperar nuestros archivos ya que los ciberdelincuentes podrían ser rastreados y descubiertos.

Prevención

Recordemos las normas que habitualmente recomendamos desde Ateinco:

  1. Mantener los sistemas operativos actualizados para evitar posibles vulnerabilidades y fallos de seguridad
  2. Revisar muy bien los correos antes de abrirlos, comprobar en la medida de lo posible su procedencia, y leer bien el contenido del mensaje. Como podemos ver en la imagen del maleware que se propaga por el mensaje de Correos, la redacción deja bastante que desear.
  3. Evitar la navegación por páginas no seguras
  4. Usar un solucción de protección (Antivirus, Control de navegación, etc) como la solución Sophos Endpoint

Pero tenemos que hace hincapié en que a pesar de todas estas recomendaciones, podemos encontrarnos con un ataque de día cero, con lo que las medidas anteriores no sirven de mucho. La única medida adecuada es la que está basada en la concienciación a los usuarios, la protección de nuestros archivos mediante políticas de copia de seguridad.