El ransomware es un tipo de troyano que, de vez en cuando, asoma al
mundo del malware. Esta semana hemos visto un espécimen que nos ha
llamado la atención porque utiliza criptografía asimétrica para cifrar
los archivos del usuario y pedir así un rescate por ellos. La mala
noticia es que, al contrario que otros ransomware, este está
relativamente bien hecho y los archivos pueden quedar inservibles.
La buena noticia es que el atacante ha cometido un par de fallos
y el impacto se puede mitigar.

Su funcionalidad básica es cifrar documentos y archivos del usuario y
pedir un rescate por ellos (en este caso 120 dólares). Normalmente los
atacantes utilizan una cuenta de PayPal o cualquier servicio de giro
postal que facilite el anonimato. La mayoría ni se molestan, una vez
recibido el dinero, en descifrar los archivos. Juegan con la
desesperación de las víctimas, que pueden ver como todas las
fotografías, documentos, presentaciones y vídeos de su disco
duro quedan inservibles.

Uno de los más famosos fue PGPcoder, que saltó a la luz en 2004. Este
troyano cifraba los archivos de los sistemas y solicitaba dinero a los
usuarios afectados si querían volver a restaurarlos. La realidad es que,
debido a un mal diseño de su creador, el troyano utilizaba un algoritmo
de cifrado muy simple basado en valores fijos, que permitía invertirlo y
recuperar automáticamente los archivos. Cada cierto tiempo el creador ha
publicado una nueva versión y si bien comenzó a utilizar criptografía
fuerte, no era asimétrica. Kaspersky consiguió crackear la contraseña
usada y ofrecía soluciones a las víctimas para descifrar los archivos
sin necesidad de pagar el rescate.

Pero parece que los atacantes han aprendido la lección. Este troyano
utiliza una combinación de RSA (para generar un par de claves pública
y privada) y AES para cifrar. A su vez, utiliza la clave pública del
atacante para cifrar la privada con la que han sido cifrados los
ficheros de la víctima. Además también evitan borrar los ficheros
originales. Ahora los sobrescribe. En versiones anteriores, era posible
recuperar los datos cifrados con cualquier programa para recuperar
ficheros eliminados del sistema.

Pero aun así, el atacante comete algún que otro error. Lo analizamos en
profundidad en la siguiente entrega.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:27
minutos)
http://www.youtube.com/watch?v=xUn_rn38heU

Via: Hispasec.

Por admin

Deja una respuesta

Ads Blocker Image Powered by Code Help Pro

Ads Blocker Detected!!!

We have detected that you are using extensions to block ads. Please support us by disabling these ads blocker.

Powered By
Best Wordpress Adblock Detecting Plugin | CHP Adblock