miércoles, 11 de marzo de 2015

Infección de Ransomware CryptoLocker

Hoy nos ha traído un cliente un PC infectado supuestamente con virus. Los síntomas eran que el sistema le funcionaba muy lento y al intentar abrir cualquier imagen, documento word o excel, le salía un mensaje de error en el que las aplicaciones decían que no se podía trabajar con el documento, o que el contenido era ilegible.

Al hacer las primeras inspecciones, hemos descubierto que en cada una de las carpetas del usuario, se habían creado unos ficheros nuevos con los siguientes nombres:

  • HELP_DECRYPT.TXT
  • HELP_DECRYPT.PNG
  • HELP_DECRYPT.HTML
  • HELP_DECRYPT
Figura 1: contenido de cada una de las carpetas existentes en el sistema

    El contenido de estos ficheros era este:

    Figura 2: mensaje del fichero HELP_DECRYPT.PNG

    Con un primer análisis del antivirus (en nuestro caso el Kaspersky Antivirus 2015), nos ha detectado una infección por Ransomware CryptoLocker, un malware tipo troyano dirigido a computadoras con el sistema operativo Windows que se popularizó a finales de 2013. Tras este análisis el antivirus ha conseguido limpiar completamente los ficheros del sistema y las claves del registro, pero los ficheros que ha cifrado ha sido imposible hacer que volvieses a sus estado original y por lo tanto poder volver a trabajar con ellos, con la consecuente pérdida de información y la correspondiente mala leche que se ha generado. 

    Buscando por internet hemos visto una creciente propagación de este malware en comentarios por todos los foros desde finales e 2014. pero con más virulencia desde el 8 de febrero de 2015. 

    Si sigues los pasos que el propio malware te propone, te indica unas URLs a las que acceder y tras el pago de $500 mediante BitCoin o Paypal, se supone que te mandan el programita que te descifra tus propios ficheros, pero date prisa !! ya que si no en cualquier momento ellos pueden borrar la clave de cifrado de tus ficheros que han guardado y ya los perderás permanentemente. O sea, que ahora mismo voy a pagar !!!. Me has infectado el PC, me has hecho perder años de trabajo al estropearme los ficheros y pretendes que te mande $500? por que no para agradecerte el favor si me los devuelves te mando $1000?

    Hemos probado varias herramientas de diversas empresas para descifrar documentos cifrados con troyanos, pero hasta este momento solo nos ha hecho perder 1 día de trabajo, ya que ninguna ha conseguido corregir el problema. 

    Llegados a este punto en el que ya no se puede hacer nada por los datos, vamos a analizar que ha podido pasar para que este troyanito tan majete se haya podido pasear por nuestro sistema como Pedro por su casa. 

    ¿Qué sistema operativo tiene el cliente? 
    • Microsoft Windows XP Profesional Versión 2008 Service Pack 3 activado por WindowsWolf.com.ar

    Eing?? que es esto?

    Figura 3: versión del sistema operativo

    Por supuesto, para que los chicos de Microsoft no le manden la Estrella de la Muerte tenía Windows Update desactivado y restaurar sistema también desactivado. Bueno, no desactivado, sino "capado" de serie en esta distribución. Solo había un usuario Administrador con el que se trabaja para todo, versión de Java 6.29, flash player 9, Adobe Reader 7.0, Internet Explorer 8.0 y Avast desactualizado desde marzo de 2014. Las copias de seguridad si que las tenía, ya que ayer, cuando vio que el pc iba un poco lento, pensó en lo peor e hizo una copia de seguridad en el pen de las copias de seguridad eliminando el anterior backup para reemplazarlo por una espléndida y SUPERCIFRADA versión de todos los ficheros.

    Y la pregunta ha sido: ¿cómo se me ha metido un virus si yo no busco nada raro e internet?. Pues no se que te diga, igual ha sido por curiosidad, por que el troyano iba pululando por ahí por la red, te ha visto desde 1000 Km y ha pensado: ¡no puede ser cierto! ¡esto tengo que verlo!

    En fin, resumiendo:
    • usa sistemas operativos originales
    • mantén tu sistema actualizado
    • instala un antivirus y mantelo actualizado
    • actualiza software de terceros
    • actualiza tu navegador 
    • no "capes" las medidas de seguridad nativas del sistema (aunque parezcan a priori incómodas)
    • haz copias de seguridad periódicamente y a ser posible en varios medios distintos (pen, discos duros externos, en el cloud, en otros PCs de tu red)

    Os dejo unos vídeos del gran Chema Alonso explicando más o menos un poquito esto:

    Vídeo 1: Chema Alonso en el Blog Think Big: ¿Sirven de algo los antivirus?

    Vídeo 2: Chema Alonso - Infectarse navegando por Internet

    Vídeo 3: Chema Alonso - Actualizar Software de Terceros

    Saludos !

    1 comentario:

    Puedes dejar tus comentarios, sugerencias y críticas, pero los mensajes PUBLICITARIOS, OFENSIVOS o DESTRUCTIVOS serán marcados como spam y eliminados.