BIGtheme.net http://bigtheme.net/ecommerce/opencart OpenCart Templates
Home / Internet / El CCN alerta sobre CryptoWall
Mensaje de CryptoWall/CryptoLocker

El CCN alerta sobre CryptoWall

El Centro Criptológico Nacional ha publicado un informe sobre CryptoWall, uno de los ‘ransomware’ más extendidos, en el que explica como deshacerse de este software dañino.

La unidad de Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN) ha publicado este miércoles un informe sobre CryptoWall, un tipo de software dañino que es capaz de “secuestrar” un ordenador y exigir un pago para “rescatarlo”.

En concreto, CryptoWall está diseñado para instalarse en el sistema, comunicarse con un dominio de Internet y a continuación cifrar ciertos archivos para extorsionar a la víctima mostrando una notificación sobre el procedimiento de pago para recuperar los archivos cifrados.

Este código dañino, uno de los ransomware más extendidos, según el CCN, organismo adscrito al CNI, pertenece a la familia de troyanos y tiene ya seis versiones conocidas desde su primera aparición, en noviembre de 2013, hasta la última, en noviembre de 2015. Inicialmente no se llamaba CryptoWall sino CryptoLocker Clone, ya que su código era muy parecido al de otro ransomware conocido como CryptoLocker y la ventana mostrada al usuario era una copia exacta del mismo. Después se llamó CryptoDefense y fue en la tercera versión en la que adoptó el nombre de CryptoWall.

Algunas de estas versiones sólo permitían el pago con BitCoins para desbloquear los archivos afectados y en algunos casos la generación de clave de cifrado se realizaba sin necesidad de conexión a Internet. Por suerte, en la segunda versión de CryptoWall fue posible el desarrollo de una herramienta gratuita para recuperar los archivos sin pagar a los delincuentes, según señala el CCN. Por otro lado, el procedimiento que seguía la tercera versión mantenía los archivos originales en el disco por lo que eran recuperables a través de herramientas forenses.

En las últimas versiones aumentaron los tipos de archivo afectados por CryptoWall. Además, en la versión más reciente, los textos mostrados en los mensajes para el usuario afectado son “mucho mas agresivos que las versiones anteriores e incluso se burlan de la víctima“, indica el CCN en su informe. Según consta en CryptoWall Tracker, los mensajes también quieren engañar al usuario haciéndole creer que están ayudándole, que CryptoWall no es malicioso y que el pago es para comprar un software para recuperar los archivos.

Por qué CryptoWall es tan peligroso

CryptoWall es particularmente peligroso porque una vez ha cargado el código dañino en el sistema elimina los puntos de restauración y modifica el registro del sistema para asegurar su persistencia. Una vez está instalado, enumera los discos duros, unidades extraíbles y recursos de red en busca de archivos que cumplan un determinado patrón, los cifra y después pide un rescate.

La infección de CryptoWall se produce al ejecutar un fichero que contiene el código dañino. Según CryptoWall Tracker, una de las formas más comunes de encontrarse con este software es vía spam (correo no deseado). De hecho, hace no mucho (mayo de 2016) CryptoLocker inició una agresiva operación en España disfrazándose de emails de Correos. El mensaje contenía un enlace para descargar, supuestamente, información sobre una carta certificada para el usuario, al que se le advertía de que si no reclamaba la carta debería pagar cerca de 90 euros por cada día de retraso. Como suele ocurrir en estos casos, el texto estaba lleno de errores gramaticales, pero el mensaje imitaba los colores de Correos e incluía su logo para darle credibilidad:

CryptoLocker mensaje de correos

Cuando el fichero malicioso se ha ejecutado, inyecta el código dañino en un nuevo proceso del Explorador de Windows (por defecto, ‘Explorer.exe’) y crea una copia de sí mismo en %APPDATA%. Después se comunica con su servidor para obtener la clave que utilizará para el cifrado.

Además, para “despistar” a los análisis, utiliza dos métodos: un “código basura” con funciones sin ninguna aplicación práctica -para confundir a los motores de análisis como los antivirus- y “código spaguetti” para ralentizar el análisis y evitar ser detectado.

Como detectar CryptoWall

Para detectar si un equipo se encuentra, o ha estado infectado por CryptoWall, el CCN recomienda ejecutar alguna de las herramientas de Mandiant, como Mandiant IOC Finder o el colector generado por RedLine con los indicadores de compromiso generados para su detección, o en su defecto, herramientas propias del sistema operativo.

Otra forma de averiguar si el ordenador se ha visto afectado es comprobar si en el Escritorio, en la carpeta de Menú de Inicio y en cada una de las carpetas en las que se encuentren archivos cifrados, se encuentran archivos que informan sobre el secuestro, que pueden variar según la versión. Suelen tener como nombres HOW_DECRYPT, DECRYPT_INSTRUCTION, HELP_DECRYPT y HELP_YOUR_FILES, con diferentes extensiones (HTML, txt, png y url).

Otro indicador de infección -que también depende de la versión de CryptoWall- es que desaparecen archivos y aparecen archivos nuevos con nombres y/o extensiones aleatorias; o se ven los archivos originales pero no se pueden abrir porque se ha modificado su contenido.

Finalmente, también se puede comprobar ejecutando el Editor de Registro del Sistema (Inicio -> Ejecutar -> regedit.exe) y buscando  la entrada “[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] = %APPDATA%\\” (sin comillas).  “En el caso de que una entrada exista con ese patrón, es un posible indicio de compromiso del sistema”, apunta el informe del Centro Criptológico.

Cómo eliminar CryptoWall (sin pagar el rescate)

El informe del CCN también dedica un apartado a explicar cómo deshacerse de CryptoWall (sin pagar el rescate, obviamente). Desgraciadamente, de momento los expertos no han encontrado aún una forma para recuperar los archivos cifrados por el código dañino en la versión actual de CryptoWall (la 4.0), de manera que lo único que se puede hacer es utilizar copias de seguridad previas de dichos archivos si se cuenta con ellas.

No obstante, al menos sí es posible eliminar el código dañino del equipo aunque no se recuperen los archivos secuestrados. Para ello, el CCN indica que es necesario iniciar sesión con un usuario Administrador o que posea privilegios administrativos y usar el Editor del Registro (Inicio -> Ejecutar -> regedit.exe).

Una vez abierto, hay que encontrar la entrada [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\] = %APPDATA%\\ (sin comillas, la misma mencionada en el apartado anterior). Se borra dicha entrada con el nombre aleatorio así como la carpeta para, posteriormente, acceder a la ruta de %APPDATA% y borrar el binario.

Posteriormente se accede a la siguiente rama en el registro: “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Nt\SystemRestore”. En ella hay que buscar la entrada “DisableSR” y, en el caso de que exista con un valor de “1”, poner su valor a “0” o directamente borrarla. De esta forma se podrán volver a utilizar los puntos de restauración en el sistema. Finalmente, el CCN recomienda eliminar todos los archivos referentes a la información de secuestro en todas las carpetas en las que se encuentren.

Quién está detrás de CryptoWall

Por último, los expertos del CCN han investigado la procedencia de CryptoWall. En sus análisis han encontrado tres dominios con los que el ransomware intentó establecer conexión como parte del proceso detallado más arriba: se trata de Abelindia.com, purposenowacademy.com y mycampusjuice.com.

La geolocalización de estos tres dominios ha resultado en tres puntos diferentes de Estados Unidos: Orlando (Florida), Scottsdale (Arizona) y Los Ángeles (California).

Como curiosidad, están “excluidos” de CryptoWall varios países (Rusia, Kazajistán, Ucrania, Uzbekistán, Turkmenistán, Bielorrusia, Azerbaiyán, Armenia, Tayikistán, Kirguistán y Georgia.

El informe completo se puede descargar en este enlace de la página del CCN-CERT. También se puede consultar más información en la web Cryptowalltracker.org.

 

About Blanca Pou

Periodista. Si te gusta lo que hago, sígueme en Twitter en @BPouS :)

Check Also

25 años de cárcel para un hacker por informar a Daesh sobre militares estadounidenses

Un tribunal federal estadounidense ha declarado culpable este miércoles a un hacker acusado de proporcionar ...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>