Español | English
rss facebook linkedin Twitter

Ransom... qué?

Dentro del Ransomware existen multitud de variantes. Este post no pretende ser una recopilación exhaustiva sino un simple repaso de las distintas técnicas usadas por las muestras más relevantes que han pasado por el departamento de Ecrime de S21sec.

Una de la más extendida el año pasado fue Urausy, más conocido como "Virus de la Policía".


Malware que, a pesar de tener algunos interesantes trucos anti-análisis, su funcionalidad principal se limita a crear un nuevo escritorio, mostrar una de las imágenes anteriores según el país de la víctima y bloquear el sistema hasta que se pague el rescate.

Por suerte, el número de muestras detectadas por S21sec parece ir en claro descenso en los últimos meses; lo que podría indicar que su final está cerca:


Pero en este mundo, lo que es el final para una amenaza, es el comienzo para otras nuevas, como la variante a la que hemos llamado RansomChild por hacer uso de imágenes de pornografía infantil (que no vamos a reproducir aquí) para hacer más efectivo su chantaje. Funcionalmente también bloquea el sistema, pero tiene como peculiaridad un sistema de generación de dominios (DGA por sus siglas en inglés) a partir de una semilla estática como backup al panel de control.

Otra de las más destacadas durante el año pasado ha sido Cryptolocker:


En este caso el rescate no se pide por desbloquear el sistema sino por la recuperación de los múltiples ficheros que cifra de forma irrecuperable. El malware, tras instalarse se añade al registro para sobrevivir al reinicio y empieza a comprobar dominios generados mediante un DGA basado en tiempo, hasta dar con uno que responda, al que envía un archivo llamado CryptoLockerID con el que el servidor genera un par de claves (publica y privada) específicas para el equipo infectado.

Cryptolocker ha sido uno de los Ransomwares que hacen uso de cifrado más extendidos y que más estragos ha causado de los últimos tiempos, aunque gracias a la pronta respuesta de la comunidad, ha sido posible atajarlo en gran medida.

Uno que ha hecho menos ruido, pero no menos daño a quien ha sido víctima del mismo, es el conocido como Anti-Child Porn SPAM protection 2.0:


También cifra ficheros de forma irrecuperable hasta la fecha, y tiene como peculiaridad que no se distribuye de forma masiva sino que el grupo detrás de el mismo parece conseguir acceso previo a los sistemas (Windows Server) a través de ataques de fuerza bruta al servicio de escritorio remoto en el puerto 3389.

Tan rentable está siendo el sistema seguido por los Ransomwares, que hasta llegan a salirse de la localidad objetivo, como ha sido testigo uno de nuestros clientes afectado por la variante GPCode:


Por lo tanto, como hemos visto, la mejor solución para este tipo de malware pasa por la prevención, sobre todo en el caso de aquellos que hacen uso de cifrado, ya que no siempre vamos a tener la suerte de que sea débil y pueda ser roto como ha sucedido en el caso de Bitcrypt por nuestros colegas de Cassidian.

De esta forma se recomienda:
  • En primer lugar, sentido común, ya que la ingeniería social suele ser un componente importante a la hora de infectar.
  • Para evitar el cifrado de archivos en carpetas compartidas, es importante restringir los permisos en unidades de red para evitar que la infección de un usuario con permisos pueda desembocar en el cifrado de las mismas.
  • Se recomienda la realización de backups de forma periódica y centralizada, de tal forma que la copia seguridad resida en un dispositivo físico distinto e inaccesible.
  • Mantener el sistema actualizado y fortificar aquellos servicios expuestos empezando por el uso de contraseñas suficientemente robustas.
  • En el caso concreto de las muestras analizadas de Cryptolocker, no procede al cifrado de los archivos hasta que ha contactado con el C&C, por lo que una solución como LTI podría prevenirlo. 

Santiago Vicente

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login