Cryptolocker

Es uno de los Ransomware más conocidos y peligrosos. Comenzó a extenderse en el año 2013, principalmente mediante campañas de SPAM, y hay una gran cantidad de mutaciones y variaciones del mismo. Afecta a toda la familia de sistemas operativos Windows y su algoritmo de cifrado, basado en una combinación RSA y AES, es en la práctica imbatible.

Solicita el pago de entre 100 y 300 $ en 72 horas, amenazando con eliminar la contraseña de descifrado en ese momento, lo que supone peder definitivamente el posible acceso a los archivos.

Cryptowall

Otro Ransomware que utiliza técnicas de phising y que además ya cuenta con varias generaciones de evolución, en las que se ha ido perfeccionando de forma prácticamente diabólica.

En sus versiones más recientes incorporar la eliminación “segura” de los ficheros originales, reescribiendo los sectores del disco para evitar acceder a las versiones originales de los archivos usando técnicas avanzadas.

Para cubrir su anonimato utiliza la red llamada I2P (Invisible Internet Proyect), que es similar a TOR, pero menos conocida.

Y para los pagos utiliza una cuenta de Bitcoins para cada víctima, al principio empleaba una única cuenta, pero ahora lo hace de esta otra manera, para que así resulte mucho más complicada perseguir y localizar a los delincuentes.

Cryptodefense

Emplea un algoritmo de cifrado RSA de 2048 bits, pide el pago de 500$ en Bitcoins y da un plazo de 4 días. La web para realizar el pago está en la red Tor. Es así de contundente y peligroso.

Torrentlocker

Aunque el nombre parece indicarlo, en realidad no tiene ninguna relación con Torrent. Se ha extendido especialmente por Inglaterra y Australia, pide 500$ por el rescate y también emplea la red Tor para acceder a la web de pagos. Su código dañino se inyecta en “Explorer.exe” y usa cifrado AES variante CBC de 256 bits.

Correos de España

En diciembre de 2014 en España se comenzó a sufrir una campaña masiva de phising que buscaba contagiar a las víctimas con una variante del Torrelocker.

El señuelo era un email con aspecto de ser enviado por Correos de España, notificando el intento de entrega de una carta certificada.

El remitente era support[arroba]correos24.net y para los cifrados de los archivos utilizaba AES de 256 bits. La clave de descifrado se cifrada con RSA de 2048 bits y se enviaba a un servidor tipo “command and control” para su almacenamiento remoto.

Además vampirizaba las listas de contactos de los clientes de correo más populares, para así reenviar mensajes a nuevas potenciales víctimas.

Cryptographic Locker

Tuvo su momento álgido de actividad en verano de 2014, empleaba como método de propagación la explotación de vulnerabilidades en código de páginas webs, especialmente Silverlight.

Era capaz de interceptar procesos que pudiera descubrirle o eliminarle, y una vez cifrados los archivos, la imagen de fondo del escritorio se modificaba, mostrando la forma en que el usuario podía recuperar los archivos, incluyendo el pago de 0,2 Bitcoins (unos 90 €).

Cryptofortress

Un Ransomware muy reciente, difundido en febrero de 2015, mediante mensajes de spam y empleado el exploit kit Nuclear Pack.

Utiliza exactamente el mismo formato de mensaje para el usuario que el Torrenlocker, para así despistar al técnico que trate de resolver el problema, al emplear técnicas de otro malware distinto.

Pide el rescate de 1 Bitcoin, cifra los ficheros con AES de 256 en modo ECB y la clave de cifrado con RSA de 1024 bits.

TeslaCrypt

Una variante muy reciente y especialmente diseñada para atacar a aficionados a los videojuegos. Se difunde por correo electrónico o por redirecciones web, empleando el exploit kit Angler para realizar el contagio. Además emplea técnicas anti sandbox, de manera que es capaz de detectar si el equipo es «real» o un «dummie», para así desplegarse o permanecer hibernado. También hace chequeos de procesos activos, para detectar si el usuario está tratando de desenmascararlo o neutralizarlo.

Para el cifrado de archivos utiliza AEA Asimétrico, por lo que se trata de un cifrado débil y ya han aparecido herramientas (como la creada por Talos) capaces de conseguir la clave de descifrado a partir de los archivos secuestrados. Eso sí, en el mensaje de aviso al usuario dice emplear RSA-2048 para despistar.

Trojan.Ransomcrypt.L aka BAT_CRYPTOR.A

Se expande mediante correos electrónicos spam, que contienen JScript, que hace uso de GNU Privacy Guard, con cifrado RSA de 1024 bits. Además emplea diversas técnicas para entorpecer una posible recuperación o reparación de la situación.

Entre su actividad perniciosa, se incluye el robo de las contraseñas almacenadas de los navegadores que son enviadas a un servidor remoto.

CTB-Locker o Citroni

Cuenta con dos generaciones y emplea Tor para acceder a los servidores de “command and control”, otros la empleaban para acceder a las webs de pago, emplea el cifrado ECDH (Elliptic curve Diffie–Hellman), que actualmente es imposible de romper.

Para expandirse utilizaba el camino allanado por otros malwares previos que ya habían contagiado los equipos y le facilitaban la entrada.

Una vez cifrados los archivos muestra en primer plano un mensaje anunciando la situación y mostrando las formas de pago.

En la segunda generación del malware se puso un límite de 72 horas para realizar el pago (en la primera eran 96) y se tenía en cuenta la situación geográfica de la víctima para mostrarle el mensaje.

Poshcoder

Emplea PowerShell para su actividad maliciosa y se despliega en los equipos inyectándose en user32.dll, empleando mecanismos para evitar ser detectado. Utiliza AES para cifrar los ficheros y RSA 4096 para ocultar la clave de descifrado de AES.

Zerolocker

Detectado en agosto 2014 por primera vez, este Ransomware cifra todos los archivos del disco duro, salvo los que tienen un tamaño superior a 20 megas y los alojados en los directorios «Windows», «WINDOWS», «Program Files», «ZeroLocker» y «Desktop». Además sobre-escribe los sectores de los archivos originales.

Inicialmente pide un rescate de 300$ en Bitcoins y luego va aumentado la cantidad progresivamente hasta los 1000$ según pasan los días.

Entregas de la serie de artículos sobre Ransomware:

– “Ransomware, parte I – El negocio del secuestro digital“.

– “Ransomware, parte II – Contagio y prevención”.

– “Ransomware, parte III – Principales variantes”.

– “Ransomware, parte IV – Estrategias y técnicas para afrontar situaciones de desastre”.

Post By Florián Manuel Pérez Sánchez (64 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

Ransomware