Visita mi Blog dentro de los Blogs de Tecnología en Coobis.

Páginas

12 de mayo de 2015

Crypt0l0cker o cuándo la boca se te llena de caracteres no alfanumericos


En los últimos días, se han detectado muchos casos de un ataque masivo de un peligroso malware de tipo Ransomware (es un tipo software malintencionado que los "crackers" instalan en su PC sin tu consentimiento. Ransomware les da a los "crackers" la capacidad de bloquear tu equipo desde una ubicación remota. Luego presentará una ventana emergente con un aviso que dice que su ordenador está bloqueado y afirma que no podrá acceder al mismo a no ser que pague un rescate que varía entre los 300$ y 500$) llamado "Crypt0locker" que pide rescate monetario por desencriptar los archivos o recuperar el control del sistema operativo. El sistema de difusión de este troyano es a través del correo electrónico. La idea es engañar al usuario para que abra un link que se suministra en el mismo mail cuyo origen es de, en nuestro país, pricipalmente de la empresa Correos.

La forma de infectarte, por desgracia necesita de tu colaboración, pues es necesario ejecutar un fichero adjunto para que te veas infectado. Dado que el cuerpo de mensaje simula casi a la perfección el layout de los de correos, picas como un chino y lo ejecutas, por la curiosidad de recibir un mensaje de aviso sobre una carta certificada que no han podido entregarte y que te permitirá acceder mediante un código a poder tener el resguardo para su recogida en  la oficina de correos.


Exactamente la versión actual, pues es una migración de otro ya reportado a finales de 2013, lo que ataca es a determinadas extensiones de ficheros (por cierto, bastante extensa incluyendo los formatos de backup de Windows Server, imágenes, Ms office, etc...) encriptandolos y añadiendo una extensión ".encrypted" a continuación del nombre y extensión valida del fichero ("mifoto.jpg.encrypted"). Ataca a todas las unidades, tanto locales como de red a las que estés conectado, y por desgracia, debido a que muta de forma constante, diríamos que casi diaria, las compañías de seguridad y proveedores de antivirus no pueden (o han podido) crear ni una vacuna ni detectarlo a tiempo de forma proactiva.

Aunque hay ya "miles" de afectados que han pagado el denominado "rescate", según los expertos en seguridad informática y electrónica, no se debe incurrir en ese "error" porque el "cracker" nunca va a mandar la clave para poder recuperar el ordenador porque sería descubierto. El CryptoLocker también intenta borrar las copias de seguridad de Windows antes de cifrar los archivos. Debido a la longitud de la clave usada por el malware, se la considera casi imposible de obtenerla usando un ataque de fuerza bruta sin realizar el pago; un método similar utilizado por el gusano Gpcode.AK, el cual usaba una clave de 1024-bits, creída en aquel entonces imposible de romper sin usar computación distribuida, o bien descubriendo una forma de romper el cifrado.

Por la información que disponemos en el momento de redactar este post, NO EXISTE ningún sistema que de forma inversa permita desencriptar los ficheros para poder recuperar su contenido, con lo que recomendamos ni intentarlo y borrarlos de forma definitiva.

Es uno de los casos que es altamente recomendable el formateo de sistema, restaurándolo a su estado de fabrica si os es posible.




Reacciones:

0 comentarios: