21 ene. 2015

Guía sobre CTBLocker (I)

Esta es una adaptación libre y actualizada del post de Bleeping Computer sobre el ransomware CTB-Locker.

¿Qué es CTB-Locker o Critroni?

CTB-Locker (Curve-Tor-Bitcoin Locker), también conocido como Critroni, es un ransomware que, luego de infectar el sistema, cifra los archivos del mismo. La primera versión fue lanzada en julio de 2014 y está dirigido a todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Si bien la infección se parece mucho a la realizada por CryptoLocker, este malware parece haber sido desarrollado por un grupo diferente de personas, utilizando nuevas tecnologías como la criptografía de curva elíptica y realizando la comunicación al Centro de Mando y Control (C&C) sobre TOR.

Descubierto por Kafeine, este malware parece ser parte de un kit que se vende en línea por U$S 3.000 por lo que se espera que otros ransomware comiencen a utilizar este kit a la brevedad, pero posiblemente con diferentes interfaces. Más información sobre cómo se vende este malware puede encontrarse en el artículo de Kafeine "Crypto Ransomware" CTB-Locker (Critroni.A) on the rise.

¿Cómo llega CTB-Locker al sistema?

CTB-Locker es un ransomware que tiene una alta tasa de propagación en Latinoamérica y se propaga a través de una campaña de spam con supuestos mensajes de fax o adjuntos con información falsa. En casos recientes de Argentina se propaga en un archivo ZIP que contiene un archivo .SCR con el mismo nombre. El archivo EXE o SCR es un troyano del tipo Downloader que se conecta a alguno de los siguientes sitios para descargar el ransomware real:
  • breteau-photographe.com (213.186.33.150)
  • voigt-its.de (188.93.8.7)
  • maisondessources.com (213.186.33.19)
  • jbmsystem.fr (213.186.33.3)
  • pleiade.asso.fr (213.186.33.19)
  • scolapedia.org (213.186.33.19) 
Luego de la descarga, el sistema ya está infectado con CTB-Locker. Este procede a buscar todos los archivos de datos y los cifra para que ya no sean accesibles por el usuario. En el pasado los archivos cifrados cambiaban su extensión a ".CTBL" o ".CTB2" pero en la versión actual se agrega una extensión aleatoria a cada archivo cifrado. Finalmente, se reemplaza la imagen del escritorio de Windows con información para el rescate de los archivos, para lo cual se pide que se sigan las instrucciones en pantalla, para aprender a comprar bitcoins y pagar el rescate. Este monto de rescate es equivalente a 8 BTC o sea U$S 3.100 a la cotización actual.
Cuando se realiza la infección, en esta versión, el malware almacena en la carpeta %Temp% con un nombre aleatorio. Luego crea una tarea (con nombre al azar) oculta en la lista de tareas y que ejecuta el malware cada vez que inicia la sesión. Una vez infectado, CTB explora las unidades del sistema en busca de archivos de datos y los cifra. El malware escanea todas las letras las unidades, incluyendo unidades locales, extraíbles y recursos compartidos de red. En resumen, si hay una letra de unidad en al computadora, la misma se analizará e infectará.

Cuando CTB detecta un archivo de datos, lo cifra utilizando criptografía de curva elíptica, siendo el único ransomware que lo hace hasta el momento. Cuando el malware ha terminado de escanear y cifrar todas las unidades, mostrará la pantalla de rescate que incluye instrucciones sobre cómo pagar el rescate. Para esto cambia el fondo del escritorio por una imagen BMP alojada en %MyDocuments%\AllFilesAreLocked.bmp, que contiene las instrucciones. Finalmente también crea los archivos %MyDocuments%\DecryptAllFiles.txt y %MyDocuments%\.html con las mismas instrucciones. La información sobre el sitio de rescate será discutido más adelante en esta guía.
Otra característica de esta infección es que se comunicará con el servidor C&C directamente a través de TOR. Esta técnica hace más difícil, pero no imposible, rastrear la ubicación de los servidores de control.

¿Cuáles son las extensiones que se agregan a los archivos cifrados?

La infección cifra los archivos y les cambia el nombre con una nueva extensión. Las versiones anteriores de CTB-Locker cambiaban la extensión del archivo a "CTBL" o ".CTB2", mientras que las más recientes están utilizando una extensión al azar como ".ftelhdd" o ".ztswgmc". Por lo tanto, estos archivos son simplemente los archivos de datos normales que han sido cifrados. (Por ahora) sólo hay una manera de recuperar los archivos cifrados, aparte de realizar el pago del rescate. Se verá más adelante en esta guía.

¿Qué hacer cuando descubro que un equipo está infectado con CTB-Locker?

Si usted descubre que su equipo está infectado con CTB, debe escanear inmediatamente su sistema con un programa antivirus. Desafortunadamente, la mayoría (3 de 56 al momento de escribir el presente) no detecta CTB hasta que se muestra la "nota" de rescate y los archivos ya han sido cifrados. Sin embargo, al menos detectarán y eliminarán la infección de su equipo, para que ya no se inicie con Windows.

Para eliminar manualmente la infección se debe quitar cualquier ejecutable de la carpeta %Temp% y luego limpiar las tareas ocultas en el programador de tareas de Windows. Esto quita la infección, pero no restaurará sus archivos cifrados.

La nueva variante de CTB-Locker ofrece gratis el descifrado de 5 archivos.

CTB-Locker ahora proporciona la capacidad de descifrar los 5 archivos como "prueba de vida" de que los desarrolladores de malware pueden restaurar los archivos. En la pantalla principal de descifrado se pueden descifrar hasta 5 archivos de hasta 1MB de tamaño.

¿Es posible descifrar archivos cifrados por CTB-Locker?

Desafortunadamente en este momento es imposible recuperar la clave privada que se utilizó para descifrar los archivos, sin tener que pagar el rescate en el sitio de CTB. La fuerza bruta sobre clave tampoco es una solución realista debido a la cantidad de tiempo requerida para romper este tipo de criptografía y a la longitud de las claves utilizadas por los delincuentes.
Las herramientas descifrado que han sido liberadas por diversas empresas para otros tipo de malware no funcionan con esta infección. Los únicos métodos de restauración de los archivos son las copias de seguridad, herramientas de recuperación de archivos, o las copias instantáneas de volumen de disco (recuperación de Windows). Sobre estos métodos volveremos después.

¿Cómo encontrar los archivos que han sido cifrados CTB-Locker?

Para ver una lista de los archivos cifrados por este malware se puede abrir el archivo %MyDocuments%\[random].html. Este archivo no sólo incluye las instrucciones del rescate, sino que también contiene una lista de los archivos que han sido cifrados por el malware.

CTB-Locker y los recursos compartidos de red

CTB-Locker cifra los archivos de datos sobre todos los recursos compartidos de red sólo si ese recurso tiene asignado una letra de unidad en el sistema infectado. Si no se asigna una letra de unidad, CTB-Locker no cifra los archivos en ese recurso compartido.


Cristian de la Redacción de Segu-Info

3 comentarios:

  1. Podrian especificar cuales son los antivirus comerciales que lo detectan?. Al menos una pista... Gracias.

    ResponderEliminar
    Respuestas
    1. Es un dato totalmente relativo porque irán detectándolo con el pasar de las horas. Igual mira donde dice 3 de 56.

      Eliminar
  2. Con Kaspersky controlamos este virus..!

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!