El equipo de CryptoLocker aumenta el rescate: Krebs sobre la seguridad

por

El artículo de la semana pasada sobre cómo prevenir CryptoLocker Los ataques de ransomware generaron bastantes comentarios y muchas preguntas de los lectores. Para obtener algunas respuestas, y dado que el malware en sí se ha transformado significativamente en solo unos días, recurrí a lorenzo abrams y su foro de ayuda en línea BleepingComputer.comque vienen siguiendo y alertando sobre este flagelo desde hace varios meses.

CryptoLocker deja este mensaje para las víctimas cuyo software antivirus eliminó el archivo necesario para pagar el rescate.

CryptoLocker deja este mensaje para las víctimas cuyo software antivirus elimina el archivo necesario para pagar el rescate.

En resumen, CryptoLocker es un nuevo giro diabólico en una vieja estafa. El malware encripta todos los archivos más importantes en la PC de la víctima (imágenes, archivos de películas y música, documentos, etc.), así como cualquier archivo en medios de almacenamiento adjuntos o en red. CryptoLocker luego exige el pago a través de Bitcoin o MoneyPak e instala un reloj de cuenta regresiva en el escritorio de la víctima que marca hacia atrás desde 72 horas. Las víctimas que pagan el rescate reciben una clave que desbloquea sus archivos encriptados; aquellos que dejan que el temporizador caduque antes de pagar corren el riesgo de perder el acceso a sus archivos para siempre.

O, al menos, así funcionó hasta hace unos días, cuando los ladrones detrás de esta estafa comenzaron a relajar un poco sus propias reglas para acomodar a las víctimas que aparentemente estaban dispuestas a pagar, pero simplemente no podían pasar por todos los aros necesarios en el tiempo asignado.

“Se dieron cuenta de que habían estado dejando dinero sobre la mesa”, dijo Abrams. “Decidieron que no tiene mucho sentido no aceptar el dinero del rescate una semana después si la víctima todavía está dispuesta a pagar para recuperar sus archivos”.

Parte del problema, según Abrams, es que pocas víctimas conocen Bitcoins o MoneyPak, y mucho menos cómo obtener o utilizar estos mecanismos de pago.

“Ponemos una encuesta y preguntamos cuántos [victims] había pagado el rescate con Bitcoins, y casi nadie dijo que lo hiciera, dijo Abrams. “La mayoría paga con MoneyPak. Las personas que pagaron con Bitcoins dijeron que encontraron que el proceso para obtenerlos era tan engorroso que les tomó una semana resolverlo”.

Otro obstáculo importante que impide que muchas víctimas dispuestas a pagar el rescate es, irónicamente, el software antivirus que detecta CryptoLocker, pero solo después de que el malware haya bloqueado los archivos más preciados de la víctima con un cifrado prácticamente imposible de descifrar.

“Originalmente, cuando el software antivirus limpiaba una computadora, eliminaba la infección CryptoLocker, lo que hacía que el usuario no pudiera pagar el rescate”, dijo Abrams. “Las versiones más nuevas cambian el fondo del escritorio para incluir una URL donde el usuario puede descargar la infección de nuevo y paga el rescate.”

La idea de volver a infectar una máquina a propósito mediante la descarga y ejecución de malware altamente destructivo puede ser antitética e incluso una herejía para algunos profesionales de la seguridad. Pero las víctimas que se enfrentan a la aniquilación de sus archivos más preciados probablemente tengan una visión diferente de la situación. Abrams que dijo que sus pruebas han demostrado que siempre que la clave de registro «HKCUSoftwareCryptolocker_0388″ permanece en el registro de Windows, volver a descargar el malware no intentaría volver a cifrar los datos ya cifrados, aunque cifraría cualquier archivo nuevo agregado desde la infección inicial.

“Algunas compañías de antivirus les han estado diciendo a las víctimas que no paguen el rescate”, dijo Abrams. “Por un lado, lo entiendo, porque no quieres alentar a estos creadores de malware. Pero, por otro lado, hay algunas empresas que se enfrentan a la quiebra si no lo hacen, y no pueden darse el lujo de tomar la ruta más santa que tú”.

SERVICIO DE DESCRIPTACIÓN DE CRYPTOLOCKER

El viernes 1 de noviembre, los delincuentes detrás de esta campaña de malware lanzaron una función de «servicio al cliente» que prometieron lanzar durante semanas: un servicio de descifrado de CryptoLocker. “Este servicio permite [sic] que compre una clave privada y un descifrador para los archivos cifrados por CryptoLocker”, se lee en el sitio. Los “clientes” del servicio pueden buscar su “número de pedido” simplemente cargando cualquiera de los archivos cifrados.

“Lo llaman una ‘orden’, como si las víctimas publicaran una orden en Amazon.com”, dijo Abrams.

El "Servicio de descifrado de Cryptolocker."

El «Servicio de descifrado de Cryptolocker».

«Si ya compró una clave privada usando CryptoLocker, entonces puede descargar la clave privada y el descifrador de forma gratuita», explica el servicio, que actualmente está alojado en una de varias direcciones en el Red de anonimato Tor. No se puede acceder al sitio del servicio de descifrado desde Internet normal; más bien, las víctimas primero deben descargar e instalar software especial para acceder al sitio, otro obstáculo potencial para que las víctimas salten.

Según Abrams, las víctimas que aún se encuentran dentro del reloj de cuenta regresiva inicial de 72 horas pueden pagar el rescate tosiendo dos Bitcoins, o aproximadamente $ 200 con un pedido de MoneyPak. Las víctimas que no pueden pagar dentro de las 72 horas aún pueden recuperar sus archivos, pero por ese desafortunado lote, el rescate se quintuplica a 10 bitcoins, o aproximadamente USD $ 2,232 al tipo de cambio actual. Y esas víctimas ya no tendrán la opción de pagar el rescate a través de MoneyPak.

Abrams dijo que el servicio expone dos mentiras que los atacantes han estado perpetuando sobre su esquema. Para empezar, los malos han tratado de disuadir a las víctimas de hacer retroceder los relojes de su sistema para ganar más tiempo para reunir el dinero y pagar el rescate. Según Abrams, esto funciona en muchos casos para retrasar el temporizador de cuenta regresiva. En segundo lugar, el lanzamiento del servicio de descifrado de Cryptolocker desmiente la afirmación de que las claves privadas necesarias para desbloquear los archivos cifrados por CryptoLocker se eliminan para siempre de los servidores del atacante después de 72 horas.

DETECCIÓN Y PREVENCIÓN DE CRYPTOLOCKER

La historia de la semana pasada señaló dos herramientas que pueden ayudar a bloquear las infecciones de CryptoLocker. Los usuarios individuales de Windows deben consultar criptoprevenciónuna pequeña utilidad de Juan Nicolás ShawCEO y desarrollador de tontouna consultoría informática con sede en Outer Banks, NC Los administradores de pequeñas empresas pueden aprovechar una herramienta gratuita de la empresa de consultoría empresarial tercer nivel.net, que recientemente lanzó su kit de prevención CryptoLocker. Este conjunto completo de pólizas de grupo se puede usar para bloquear infecciones de CryptoLocker en un dominio.

Una búsqueda en Cryptolocker Decryption Service arroja una coincidencia.

Una búsqueda en Cryptolocker Decryption Service arroja una coincidencia.

Como ilustra esta estafa, depender únicamente del software antivirus para protegerlo de los ataques es una temeridad. Además, es de vital importancia no solo tener un plan de respaldo para cuando ocurra un desastre de malware o hardware, sino también en caso de ataques desagradables como este. Por ejemplo, hacer una copia de seguridad de sus archivos en una unidad extraíble o de red es una gran idea, pero una capa adicional de protección contra ataques como este es tal vez desconectar esas unidades cuando no esté haciendo una copia de seguridad de sus datos.

Además, espero que quede claro que herramientas como CryptoPrevent y antivirus no sustituyen al sentido común. Amenazas como estas son oportunistas y, como ocurre con muchas amenazas modernas, su mejor protección contra ellas es emplear la inteligencia callejera básica en línea: la regla número 1 de la inteligencia callejera es no abrir alegremente los archivos adjuntos en correos electrónicos que no esperaba, incluso si parecen provenir de alguien que conoce.

Para obtener otros consejos sobre cómo mantener seguros sus datos y su computadora, consulte mi tutorial: Herramientas para una PC más segura. Si bien muchos de estos ataques de CryptoLocker se han perpetrado a través de archivos adjuntos de correo electrónico maliciosos hábilmente disfrazados, hay indicios de que este malware se está diseminando a través de redes de PC que ya han sido pirateadas a través de otros métodos. Abrams dijo que muchos ataques recientes de CryptoLocker en realidad comenzaron con infecciones del troyano bancario ZeuS o Zbot, que luego se usa para descargar e instalar CryptoLocker.

“Si tiene mucha suerte, su sistema también puede obtener [the spam bot] corte instalado allí también y comenzar a enviar spam ”, dijo Abrams.

Para obtener más información sobre esta amenaza, consulte Guía de información y preguntas frecuentes sobre CryptoLocker Ransomware de BleepingComputer.com.

Relacionado:

No quieren pagar pandillas de rescate Pruebe sus copias de¿No quieren pagar pandillas de rescate? Pruebe sus copias de seguridad. – Krebs sobre seguridad La acumulacion de tarjetas aumenta el dolor de la filtracion La acumulación de tarjetas aumenta el dolor de la filtración de objetivos: Krebs sobre la seguridad Exploit publico de Java aumenta el nivel de amenaza Krebs Exploit público de Java aumenta el nivel de amenaza: Krebs sobre seguridad Default ThumbnailEquipo y equipo policial en los Estados Unidos Pandillas de rescate envian correos electronicos a clientes victimas para Pandillas de rescate envían correos electrónicos a clientes víctimas para obtener apalancamiento – Krebs on Security El fallo aumenta las apuestas para las victimas de Cyberheist El fallo aumenta las apuestas para las víctimas de Cyberheist – Krebs on Security

Deja un comentario