Ransomware "Anti-child Porn Spam Protection 2.0" afecta a Latinoamérica

Durante esta semana se han estado recibiendo varios informes provenientes de todo Latinoamérica sobre una amenaza del tipo Ransomware que afecto a varios usuarios. La amenaza se autodenomina "Anti-child Porn Spam Protection 2.0" y se caracteriza por bloquear el equipo y cifrar la información dentro del mismo para luego pedir un rescate de dinero a cambio de la contraseña que descifra los archivos. La amenaza es detectada desde un principio como Win32/FileCoder.NAC o como Win32/FileCoder.NAG (o posibles variantes de ambos) por los productos de ESET.

Una vez que la amenaza ingresa al equipo, el proceso principal de la misma bloquea la pantalla al usuario presentando una falsa pantalla azul de Windows (BSoD) con el siguiente mensaje:

A problem has been detected and Windows has been shut down to prevent damage to your computer.

A process or thread crucial to system operation has unexpectedly exited or been terminated.

If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Technical Information:

*** STOP: 0x000000F4 (0x00000003,0x81BAD8D8,0x81BADA3C,0x80944490)

A diferencia de versiones anteriores, la versión actualmente circulando de este malware genera dos claves totalmente aleatorias compuestas por cadenas complejas que rondan entre los 80 a 114 caracteres, que serán luego utilizadas para el proceso de cifrado de los archivos del sistema afectado.

Ejemplo de las claves generadas aleatoriamente:
9DF19AB897351C2A0A0FE18A6A73722EDM66BSAl3jBe2a3K8L275j34525b3&E=4RDP4-9y8Q1j3zDa9G9u3bD04t4dFuEO7M2%4zFT (104 caracteres)

6B1783B4656C5433B430F2CC28070B4E6^1HDq9JEV1+9L0SFr9(6aDu3rF8Cg6X7gC3F#D07LAxFgAD7&9G1%6S4k4YFzEm7^2g4PF*C%9y2T9 (112 caracteres)

Una vez generadas las claves, el malware también genera un ID de infección, el cual será solicitado más adelante para poder reclamar las claves anteriores, previo pago del rescate .

El ID y las claves generadas aleatoriamente y utilizadas para el cifrado de los archivos son enviadas al autor de la amenaza y luego eliminadas del equipo.

Para cifrar el contenido de los archivos, el malware realiza una copia utilizando el algoritmo AES provisto por la herramienta WinRAR, creando de esta forma archivos ejecutables, cifrados, seguros, con un algortimo AES de 128bits. Luego de realizar este proceso, elimina el archivo original del sistema afectado utilizando la herramienta de Sysinternals Sdelete, la cual utiliza el estándar del departamento de defensa de los Estados Unidos (DoD) DOD 5220.22, el cual establece la eliminación segura de datos, siendo imposible recuperar los mismos una vez eliminados.

Una vez finalizado todo el proceso, los archivos cifrados aparecerán dentro del disco con la siguiente estructura de nombre: 
Nombre_de_archivo_original.Ext.(!! to get password email id 1111111 to [email protected] !!).exe

En donde:

• 1111111: es el ID de infección, el cual es necesario para reclamar la clave de descifrado.
• XXXrasecinfol@gmail: la dirección de mail a donde enviar la información para el recupero de los archivos.

Según diversos análisis, hasta el momento no es posible recuperar los archivos cifrados, debido al método de cifrado y tamaño de clave utilizada por el Ransomware.

Después del pago, el delincuente envia un correo con las contraseñas de descifrado y una herramienta de descifrado que se podría utiliza en caso de que las contraseñas no funcionen. Los datos enviados son los siguientes:

Your Locker password: PASSWORD0
1st Decrypt password: PASSWORD1
2st Decrypt password: PASSWORD2
3st Decrypt password: PASSWORD3

Decryption tool (password to the archive: 123)

Download decryption tool pass 123.zip from Sendspace.com
Download it and unpack to any folder. Also program require administrative rules (use administrator account).

Copy paste 1st Decrypt password, 2st Decrypt password and 3st Decrypt passwords in decrypt tool 3 fields.

If you have not stop our software - use decryption tool, because the tool will stop our software before decrypting the files.

This is very important to stop our software service (and dont delete any files in ProgramData folder before stop) because your decrypted files may will be encrypted again.

Como se esto fuera poco, el delincuente informa de las técnicas de cifrado y eliminación de los archivos, así de porqué es obligatorio el pago. El correo es muy divertido y aquí dejamos una parte del mismo:

Please don't panic and send us angry emails or scare us to send claims in police, fbi or others - this is useless.

Stupid questions like - "I have backup and need only 1-2 files and can pay you only 500,1000,1500$ USD etc., We have a small business, this amount is too high" - will be ignored. Have backup - restore your files from it.

Our minimal price for your files is 4000$ USD. We don't get passwords for free or for 500,1000,1500$ USD etc. We know that you have money.
Information topersons who believe that professionals can decrypt files:

**** Now only WE can get you the true password to decrypt all your files.
You can write to Dr.Web, Eset,Panda and other antivirus and security or datarestore companies,but now this is useless. This "Anti-Child Porn Spam Protection - 2.0 version" you have is from 22.03.2013 - more than 3 month passed and no one helped to get password or decrypt files.

La metodología utilizada por los desarrolladores maliciosos para infectar los equipos y las razones por las cuales los usuarios pueden haber sido afectados son las siguientes:

• Los usuarios maliciosos intentan acceder al equipo por medio del escritorio remoto de Windows (Puerto 3389) y realizan un ataque de fuerza bruta hasta lograr acceder. Aparentemente estos ataques fueron realizados durante  los fines de semana para evitar sospechas.
• Luego, de no poseer privilegios de administrador, intentan obtenerlos por medio de la ejecución de exploits que afectan al Escritorio Remoto de Windows (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223).
• Una vez logrados los privilegios de administrador, intentan desactivar o desinstalar cualquier solución antivirus que estuviera instalada dentro del equipo. Debido a que disponen de privilegios esto no es un problema.
• Por último proceden a descargar y ejecutar la amenaza, la cual cifra cualquier archivo que pudiera contener información importante (.doc, .pdf, .mdb, .txt, .xls, .jpg, .png, etc) con una contraseña alfanumérica creada de manera completamente aleatoria y que es enviada automáticamente al desarrollador malicioso vía mail. Luego la amenaza borra de forma segura el archivo que contenía la contraseña de manera que sea irrecuperable utilizando SDelete (http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx) y procede a bloquear el equipo con una pantalla que avisa de la infección y de cómo se debe pagar para recuperar los archivos cifrados.

Si bien la amenaza es detectada por los productos, queremos brindarles una serie de consejos para evitar este tipo de infecciones:

• Utilizar contraseñas fuertes (alfanuméricas de mínimo 8 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.
• Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario que solo sea accesible mediante conexiones de red seguras como son las VPN.
• Tener actualizado los equipos con todos los parches de seguridad correspondiente (puntualmente aquellos que solucionan los exploits http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223)
• Poseer una política definida de backups que aloje los mismos dentro de sistemas protegidos.
• Realizar auditorías de seguridad de manera regular dentro de la red para evaluar la seguridad de los equipos accesibles desde Internet.

Fuente: ZMA y TrendMicro

Suscríbete a nuestro Boletín