22 ene. 2015

Guía sobre CTBLocker (y II)


Esta es una adaptación libre y actualizada del post de Bleeping Computer sobre el ransomware CTB-Locker.

¿Qué es CTB-Locker o Critroni?

CTB-Locker (Curve-Tor-Bitcoin Locker), también conocido como Critroni, es un ransomware que, luego de infectar el sistema, cifra los archivos del mismo. La primera versión fue lanzada en julio de 2014 y está dirigido a todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Si bien la infección se parece mucho a la realizada por CryptoLocker, este malware parece haber sido desarrollado por un grupo diferente de personas, utilizando nuevas tecnologías como la criptografía de curva elíptica y realizando la comunicación al Centro de Mando y Control (C&C) sobre TOR.

El sitio web de CTB-Locker y el pago del rescate

Los desarrolladores de CTB crearon un sitio web de TOR que las víctimas deben utilizar para pagar el rescate de los archivos. Los enlaces a este sitio pueden encontrarse en %MyDocuments%\AllFilesAreLocked[user_id.bmp, %MyDocuments%\DecryptAllFiles[user_id].txt, y %MyDocuments%\[random].html, que se crean cuando se infecta el sistema.

La dirección de TOR suele cambiarse en cada versión del malware y el pago de Bitcoins se debe enviar a una dirección Onion, que es única para cada computadora y no será utilizada por otros.
Una vez que se realiza un pago se debe esperar hasta que haya una cierta cantidad de confirmaciones de los bitcoin (de 10 a 30 min.) y luego supuestamente los delincuentes entragan la clave privada y el decrypter.

¿Pagar el rescate en realidad descifra los archivos?

Es un salto de fe. En este momento la infección es demasiado nueva para saber si el pago del rescate es suficiente pero, por experiencias previas, este procedimiento suele dar buen resultado porque los delincuentes "se juegan su reputación" y saben que si no responden, es probable que su negocio de secuestros deje de rendir frutos. Obvio, esto puede no cumplirse siempre. El que decide pagar lo hace bajo su propio riesgo.

¿Cómo restaurar archivos cifrados por CTB-Locker?

El primer método es el obvio: pagar el rescate, esperar que los desarrolladores del malware envíen la contraseña de cifrado (leer el punto anterior) y tener mucha fe.

Ahora, si se ha decidido no pagar el rescate hay algunos  métodos que se puede seguir para tratar de restaurar los archivos cifrados.

Método 1: copias de seguridad

El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?

Método 2: Software de recuperación de archivos

Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.

Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)

Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.

¿Cómo restaurar archivos cifrados por CTB-Locker con instantáneas de volumen?

Si se encuentra activada la opción "Restaurar sistema" del equipo, Windows crea copias instantáneas del sistema (Shadow Copy). Esta opción está disponible desde Windows XP Service Pack 2 en adelante.
Estos snapshots permiten restaurar una versión anterior de los archivos, antes de que fueran cifrados. Sin embargo, los archivos recuperados seguramente no serán la última versión del archivo.

Existen dos métodos que pueden utilizarse para restaurar archivos y carpetas desde el Volume Shadow Copy. El primer método es usar las funciones nativas de Windows y el segundo método es utilizar la aplicación gratuita Shadow Explorer. No hace daño probar ambos métodos y ver qué cual funciona mejor.

Para restaurar archivos individuales se puede hacer clic derecho sobre el archivo, ir a propiedades y seleccionar la versión anterior que se desea recuperar.
Las nuevas variantes del CTB intentan borrar todas las copias después de infectar el equipo pero afortunadamente, la infección no siempre es capaz de eliminar las copias.

¿Cómo evitar infectarse con CTB-Locker?

Ante todo instalar un antivirus que lo detecte (sólo 3 al momento de escribir el presente).
Mientras tanto, se puede utilizar el Editor de políticas de Windows para crear directivas de restricción de archivos ejecutables en rutas específicas utilizadas por el malware. Para obtener más información sobre cómo configurar las directivas de restricción de software, consulte estos artículos de Microsoft.
Las rutas de archivos utilizadas por el malware en esta versión son:
C:\[random]\[random].exe
C:\Users\[user]\AppData\Local\[random].exe (Vista/7/8)
C:\Users\[user]\AppData\Local\[random].exe (Vista/7/8)
C:\Documents and Settings\[user]\Application Data\[random].exe (XP)
C:\Documents and Settings\[user]\Local Application Data\[random].exe (XP)
Clave del registro:
HKEY_CURRENT_USER\Control Panel\Desktop "Wallpaper" = "%MyDocuments%\AllFilesAreLocked_[user_id].bmp"
Con el fin de bloquear CTB-Locker se pueden crear algunas directivas de restricción de software, se puede utilizar la herramienta CryptoPrevent publicada por FoolishIT LLC o se puede agregar las políticas manualmente.

Una vez que se ejecuta la aplicación, simplemente se aplica la protección y se agregan las directivas de restricción de software por defecto al equipo. Una característica de CryptoPrevent es la opción de "lista blanca" que hará que las restricciones que se ponen en práctica no afecten a las aplicaciones legítimas que ya están instaladas en la computadora. Para obtener más información sobre cómo utilizar la herramienta, consulte esta página.

Si tienes alguna experiencia con CTB-Locker, la puedes contar en los comentarios, nos ayudará a todos.

Cristian de la Redacción de Segu-Info

5 comentarios:

  1. Excelente articulo muchas gracias

    ResponderEliminar
  2. Muchas gracias por el articulo, una consulta, inicialmente realizé pruebas de instalación desde las rutas siendo bloqueadas correctamente, sin embargo, al bloquear la ejecución en las rutas mencionadas, causaría problemas en el correcto funcionamiento de las aplicaciones?, Muchas gracias nuevamente.

    ResponderEliminar
    Respuestas
    1. Efectivamente debes comprobar bien las rutas y si hay archivos en las mismas controlar q luego sigan su ejecucion normal.

      Cristian

      Eliminar
  3. Mencionas que se puede recuperar hasta 5 archivos, me podrías decir como hacerlo?

    ResponderEliminar
  4. excelente Cristian, saludos

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!