SECUESTRANDO TU
PRIVACIDAD
Hace poco a través de un experto en informática @Miguel_Risco_C,
me llegó un informe sobre un virus que afecto a su cliente en Lima, se trataba
de una nueva variante de virus crypto-ransomwaring denominado cryptowall
versión 3.0.
Antes de detallar de qué se trata un cryptolocker y ransomwaring
y demás hierbas, entendamos que daños ocasiona.
Ø
Vector de
infección:
El vector de infección al parecer había sido sujeto a los
famosos adware y spyware a través de anuncios publicitarios vía web, dando hilo
al problema se encontró esta nota:
http://www.theregister.co.uk/2014/08/11/cryptowall_malvertising_yahoo_ad_network/
Donde menciona que los malhechores usan Yahoo!'s advertising
network, para esparcir el ransomware, aprovechándose de algunos fallos en las
actualizaciones de IE.
Luego horas más tarde me llego otro reporte de infección en
Lima, otra posible variante del virus denominado CBT-crypto, que era esparcida en forma clásica a través de archivos
adjuntos vía correo electrónico.
COMENZANDO A
ATERRIZAR ALGUNAS IDEAS:
¿Qué es el ransomwaring?
Este término de Ransomwaring que llego por primera vez el
2012 a través de una conferencia de Macfee como el ataque del futuro, ocasiona el secuestro total de tu
dispositivo o data importante de tu dispositivo, suena estremecedor, pero
es así sin más ni menos como se entiende.
Ø
¿Si me
infecte que aparece?
Para dar algunos ejemplos miremos el siguiente screenshot una vez ya infectado:
Para dar algunos ejemplos miremos el siguiente screenshot una vez ya infectado:
Este pop add propio del CBT – crypto es el similar que del
Cryptowall 3.0 y a todos los ransomware-virus, donde si leemos un poco menciona
3 cosas importantes:
-
Tus datos personales han sido encriptados.
-
Para obtener la clave desencriptadora de tus
datos tienes que pagar a través de bitcoins (común) u otros medios de pago.
-
Tienes un tiempo limitado para realizar el pago,
sino el precio para la clave desencriptadora de tu data será el doble y así
progresivamente.
Ø
Aparición
de archivos encriptados:
Acá vemos la aparición de archivos encriptados:
CBT-CRYPTO:
CRYPTOWALL 3.0:
Ø
Archivos
cifrados:
Acá podemos observar un documento en Excel totalmente
cifrado:
Ø
¿Cómo
entenderlo mejor?
Sin muchas palabras técnicas, es como que a tu folder de tus
datos le hayan puesto una caja con llave, el cual solo el dueño de la caja
tiene la llave para poder abrirla.
En ese sentido, la única forma de recuperar tu data es
pagando.
HISTOGRAFIA Y
DETALLES TÉCNICOS:
Acá ya entro a detallar toda la parte técnica, si tienes interés
de cómo solucionarlo al final del artículo.
Ø
Comparativa
Una gran diferencia que se tiene los virus pasados son las
siguientes:
-
No roba información de la víctima, en lugar hace
que sea imposible acceder a tu información.
-
Una vez infectado no hay antivirus que pueda
remover el cifrado, da lo mismo.
-
Usa criptografía conocida y fácil de
implementar, el problema es el tipo de criptografía que hace única al
propietario.
Ø
Modos
comunes de infección:
Acá tenemos cosas clásicas:
-
Spam / Social engineering
-
Direct drive-by-download
-
Drive-by-download a través de malvertising
-
Malware installation tools y botnets
Algunos ransomware-virus desde el 2013 -2015:
-
Dirty Decrypt
-
CryptoLocker
-
CryptoWall / Cryptodefense
-
Critroni / CTB Locker
-
TorrentLocker
-
Cryptographic Locker
Algunos elementos comunes de estos virus son por ejemplo:
-
Droppers
-
C&C, servidor comand center
-
encryptacion
-
targeted files types.
Ø
Timeline:
La primera aparición remonta al 2013 para SO Windows, habría
que recalcar que la primera aparición de estos “secuestradores virtuales” es a
través de SO Android.
Ø
Análisis:
Habría que recalcar que al ser nuevos virus las formas de
análisis tradicionales, no tienen demasiada contundencia para elaborar una
contramedida, como el uso de ingeniería inversa.
- Las características de todos estos ransomware – virus son:
- Usan criptográfica asimétrica (private key y public key), el cual es compartido y firmado a través de un C&C (comand center)
- Usan un Wincrypto que es un crypto API para cifrar la data.
- Un esquema de practico de cómo es que después de la infección entra a tallar la criptográfica asimétrica y el roll del C&C (comand center)
1)
El agente del virus recolecta datos y los cifra
con AES usando la Kaes.
2)
Ya que se trata de una criptográfica asimétrica
usa RSA y la llave publica del C&C para cifrar la llave Kaes
3)
La data y la llave de AES viaja completamente
encriptados hacia el C&C
4)
Ya en el C&C tanto la data como la llave
Kaes es desencriptadá usando la llave privada del C&C, esta llave es única
y lo tiene el atacante.
5)
El C&C genera otro par de claves para seguir
encriptando la data.
Como observamos usa protocolos criptográficos ya conocidos
pero muy potentes para cifrar y capturar tu data.
Acá algunos screenshoot de la comunicación cifrada con el
C&C.
Algo más importante que anotar es el alto grado de
ofuscación por capas y covert launch como la creación de procesos en suspensión
que tienen estos virus haciendo complicada la labor de detección de los
antivirus.
Esta grafica servirá para entender un poco más el proceso:
Si vemos en el peor de los casos puede borrar las “shadows
copies” que son copias de restauración por defecto de los archivos en Windows vista
para adelante (siempre y cuando esté configurado)
Ø
Dominios
y protocolos de comunicación C&C
En el cuadro podemos observar los protocolos comunes de
comunicación con el C&C y sus dominios:
Como cosa resaltante es el uso de proxie TOR y HTTPS.
Ø
Tecnología
criptográfica
Acá podemos observar las tecnologías criptográficas y
desarrollo de APIs de estos virus:
Ø
Costos
por rescate
Los costos varían entre $100 a más de $1000 por rescate:
Ø
¿Y a
donde apuntan estos cifrados?
Todo tipo de documentos, imágenes, videos, audio, base de
datos, password y certificados managers, software financiero, backup (.bak);
Ø
Si pago
que obtengo:
Al realizar el pago tendrás un .txt donde te darán la clave
para poder desencriptar tu data:
UNA VEZ INFECTADO
¿QUÉ HAGO?
Antes de llegar a este punto recomendaría tomar siempre en
cuentas las medidas comunes para no infectarse:
-
Uso de antivirus recomendados
-
No abrir archivos adjuntos en correos
electrónicos dudosos.
-
No insertar USB sin previa limpieza.
-
Cuidado a donde exploras.
-
Actualizar tu navegador y sistema operativ
SSI YA ME INFECTE:
- Consultar a un experto.
- No usar software para recuperación de archivos comunes, ya que estos pueden empeorar la situación.
- El tiempo de rescate es vital.
Justo en esta última recomendación me detengo y explico:
v
Tu data ya cifrada es irrecuperable, (acá hay
criptologos trabajando puede demorar desde días hasta años en descubrir la
clave y por las características técnicas es casi imposible).
v
Puedes usar herramientas como shadown explorer
para encontrar puntos de restauración y grabado por defecto de tus archivos y
como entenderás dependerá mucho del punto de tiempo en el cual se grabaron tus
archivos, así que el porcentaje de recuperación es cuestión de suerte.
Como usar “el shadown explorer”, te dejo es video:
¿QUE MÁS PUEDO Y
DEBO HACER?
Acá un excelente artículo escrito en softonic (irónicamente
uno de los máximos esparcidoras de spyware):
Escrito por Alexis torres pardo, Docente y Consultor en
seguridad informática.
Twitter: @dUn_h4t