18 mar. 2014

#BitCrypt: un malware fácil de descifrar

El ransomware ha venido para quedarse. Existen fundamentalmente dos tipos: los que bloquean el acceso al sistema (que populariza todavía el "virus de la policía") y los que (incluso adicionalmente) cifran los contenidos. En ambos casos, el negocio se basa en pedir un "rescate" (bien por el control, bien por el contenido). En esta entrada se relatará técnica y matemáticamente el funcionamiento de uno de ellos, bitCrypt y cómo (y por qué) un error de cálculo permite descifrar el contenido de los archivos que "secuestra".

BitCrypt no resulta en esencia una gran novedad. Hablamos de él como excusa para repasar la criptografía. Surgido también en febrero de 2014, cifra los archivos del sistema infectado y abre un fichero de texto (bitcrypt.txt) que contiene las instrucciones para recuperar la información. Acepta solo bitcoins y la página de rescate se muestra como una empresa "salvadora" del desastre que sufre la víctima (obviando el pequeño detalle de que el problema lo ha generado ella misma). Si llama la atención este malware no es por su modo de operar (clásico) sino por un error criptográfico interesante.
En el fichero de instrucciones se alerta de que los archivos están cifrados mediante RSA con clave de 1024 bits y los pasos que hay que seguir para recuperarlos. También, el identificador necesario para pagar, porque cada usuario afectado generará una clave de cifrado diferente. Nos proponen acceder a la dirección www.bitcrypt.info o alternativamente a unas direcciones de la red TOR, (por si dejaran de tener acceso a ese dominio, cosa que ya ha ocurrido). En esta página se introduce el identificador proporcionado y después el "wallet" para transferir el importe en bitcoins del rescate (0,4 bitcoins, aproximadamente 260 euros en esas fechas).

Contenido completo en fuente original Eleven Path I y II

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!