CryptoLocker

CryptoLocker es un ransomware tipo troyano dirigido a computadoras con el sistema operativo Windows que se extendió a finales de 2013. CryptoLocker se distribuye de varias formas, una de ellas como archivo adjunto de un correo electrónico y otra, accediendo a través del puerto remoto 3389. Una vez activado, el malware cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red usando criptografía de clave pública RSA, guardándose la clave privada en los servidores del malware. Realizado el cifrado, muestra un mensaje en pantalla, en el cual ofrece descifrar los archivos afectados, si se realiza un pago antes de una fecha límite (a través de bitcoins o con vales prepago), y menciona que la clave privada será destruida del servidor y que será imposible recuperarla si la fecha límite expira. Si esto ocurre, el malware ofrece la posibilidad de descifrar los datos a través de un servicio en línea provisto por los operadores del malware, con un precio, en bitcoins, mucho más alto. A pesar de que el malware es fácilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible de descifrar.

CryptoLocker
Información general
Tipo de programa	ransomware
Nombre técnico	varios Win32/Cryptor (AVG Technologies) Win32:Dropper-gen [Drp] (Avast Software) Trojan.Cryptolocker (Malwarebytes) TROJ_CRILOCK.DW (Trend Micro)
Desarrollador	Evgeniy Bogachev
Lanzamiento inicial	5 de septiembre de 2013
[editar datos en Wikidata]

El creador de CryptoLocker fue un ruso de 31 años, Evgeniy Bogachev, por el cual el FBI ofrecía una recompensa de tres millones de dólares por cualquier pista sobre su paradero.

Modo de operación

El virus CryptoLocker se propaga principalmente como un archivo adjunto desde un correo electrónico aparentemente inofensivo, simulando ser un correo de una compañía legítima; o bien se descarga en una computadora infectada con un virus troyano anterior, conectada a un botnet.^[1]​ Un archivo ZIP adjuntado al correo contiene un archivo ejecutable, con un ícono y tipo de archivo que lo hacen trading economics un archivo PDF, aprovechando el uso por defecto de Windows de ocultar la extensión de los archivos, que permite ocultar la extensión verdadera, .EXE. En algunos casos, este archivo puede contener al troyano Zeus, que a su vez instala el CryptoLocker.^[2]​^[3]​^[4]​

Cuando se ejecuta por primera vez, una parte suya se instala en la carpeta Documentos, con un nombre aleatorio, y luego, agrega una clave en el registro que hace que se ejecute al encenderse la computadora. Luego, intenta conectarse con uno de los servidores de control designados; una vez conectada, genera un par de claves RSA de 2048-bits, y envía la clave pública a la computadora infectada.^[2]​^[5]​ Debido a que el servidor designado puede ser un proxy local, que luego puede ser derivado a otros (a menudo en otros países), es difícil rastrearlo.^[6]​^[7]​

Finalizada su instalación, el malware comienza el proceso de cifrado de los archivos en discos locales, y en unidades de redes usando la clave pública, y registra cada archivo cifrado en el registro de Windows. Solamente cifra archivos con ciertas extensiones, las cuales incluyen ficheros de Microsoft Office, OpenDocument, archivos de AutoCAD, imágenes y otros documentos.^[3]​ Finalizada el cifrado de archivos, el malware muestra un mensaje en pantalla informando que se han cifrado archivos, y exige el pago de 300 dólares americanos o euros a través de un vale prepago anónimo (por ejemplo, los de MoneyPak o Ukash) o de 0,5 bitcoins, para descifrar los archivos. El pago debe ser realizado dentro de 72 o 100 horas, caso contrario, la clave privada en el servidor será destruida, y «nunca nadie será capaz de recuperar los archivos».^[2]​^[5]​ Si el pago es realizado, el usuario puede descargar el programa de descifrado, que viene precargada la clave privada del usuario.^[2]​ Symantec estimó que el 3% de sus usuarios infectados con CryptoLocker decidieron pagar.^[7]​ Algunos usuarios infectados que han pagado reclamaron que sus archivos no fueron descifrados.^[1]​

En noviembre de 2013, los operadores de CryptoLocker lanzaron un servicio en línea que dice que permite a los usuarios descifrar sus archivos sin usar el programa ofrecido por CryptoLocker, y que también permite comprar la clave privada de descifrado después de haber expirado la fecha límite. El proceso consiste en subir un archivo cifrado al sitio como muestra, y esperar a que el servicio encuentre una coincidencia en sus registros, el cual menciona que ocurre en 24 horas. Si encuentra una coincidencia, el sitio ofrece la posibilidad de realizar el pago desde el sitio web; si la fecha límite ya expiró, el costo se incrementa a 10 Bitcoin (un precio estimado de US$ 90000).^[8]​^[9]​

Mitigación

A pesar de que los programas antivirus están diseñados para detectar tales amenazas, estos quizá no podrían detectar al CryptoLocker, o tal vez lo hagan cuando está cifrando archivos, o incluso cuando ya lo finalizó. Esto normalmente sucede cuando se distribuye una versión nueva del malware (un ataque de día cero).^[10]​ Como el proceso de cifrado tarda un tiempo, si el malware es eliminado tempranamente, limitaría su daño.^[11]​^[12]​ Algunos expertos sugieren tomar ciertas medidas preventivas, como usar aplicaciones que no permitan la ejecución del código de CryptoLocker.^[2]​^[3]​^[5]​^[7]​^[11]​

CryptoLocker también intenta borrar las copias de seguridad de Windows antes de cifrar los archivos. Debido a la longitud de la clave usada por el malware, se la considera casi imposible de obtenerla usando un ataque de fuerza bruta sin realizar el pago; un método similar utilizado por el gusano Gpcode.AK, el cual usaba una clave de 1024-bits, creída en aquel entonces computacionalmente imposible de romper sin usar computación distribuida, o bien descubriendo una forma de romper el cifrado.^[1]​^[2]​^[9]​^[13]​^[14]​

Actualmente el certsi posee un servicio gratuito de recuperación: https://www.certsi.es/ A finales de octubre de 2013, la empresa en seguridad informática Kaspersky Lab anunció la creación de un DNS sinkhole, que permite bloquear los dominios usados por CryptoLocker.^[15]​

Referencias

1. Security Week: Cryptolocker Infections on the Rise; US-CERT Issues Warning, 19 November 2013
2. Abrams, Lawrence. «CryptoLocker Ransomware Information Guide and FAQ». Bleeping Computer. Consultado el 25 de octubre de 2013. 
3. «Cryptolocker: How to avoid getting infected and what to do if you are». Computerworld. Consultado el 25 de octubre de 2013. 
4. Eliminar y recuperar los fichero por el virus CryptoLocker en You Tube.
5. «You’re infected—if you want to see your data again, pay us $300 in Bitcoins». Ars Technica. Consultado el 23 de octubre de 2013. 
6. «Destructive malware "CryptoLocker" on the loose - here's what to do». Naked Security. Sophos. Consultado el 23 de octubre de 2013. 
7. «CryptoLocker attacks that hold your computer to ransom». The Guardian. Consultado el 23 de octubre de 2013. 
8. «CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service». NetworkWorld. Archivado desde el original el 5 de noviembre de 2013. Consultado el 5 de noviembre de 2013. 
9. «CryptoLocker creators try to extort even more money from victims with new service». PC World. Consultado el 5 de noviembre de 2013. 
10. The Yuma Sun, on a CryptoLocker attack: "... was able to go undetected by the antivirus software used by the Yuma Sun because it was Zero-day malware"
11. Leyden, Josh. «Fiendish CryptoLocker ransomware: Whatever you do, don't PAY». The Register. Consultado el 18 de octubre de 2013. 
12. Cannell, Joshua. «Cryptolocker Ransomware: What You Need To Know». Malwarebytes Unpacked. Archivado desde el original el 14 de marzo de 2016. Consultado el 19 de octubre de 2013. 
13. Naraine, Ryan (6 de junio de 2008). «Blackmail ransomware returns with 1024-bit encryption key». ZDnet. Archivado desde el original el 3 de agosto de 2008. Consultado el 25 de octubre de 2013. 
14. Lemos, Robert (13 de junio de 2008). «Ransomware resisting crypto cracking efforts». SecurityFocus. Consultado el 25 de octubre de 2013. 
15. «Cryptolocker Wants Your Money!». SecureList. Kapersky. Archivado desde el original el 29 de octubre de 2013. Consultado el 30 de octubre de 2013. 

Enlaces externos

• Esta obra contiene una traducción derivada de «CryptoLocker» de Wikipedia en inglés, publicada por sus editores bajo la Licencia de documentación libre de GNU y la Licencia Creative Commons Atribución-CompartirIgual 4.0 Internacional.
• «Threat Outbreak Alert: Email Messages Distributing Malicious Software on October 11, 2013». Cisco Systems. 14 de octubre de 2013. Consultado el 30 de octubre de 2013. 
• «Un vitoriano denuncia, por primera vez en España, ser víctima del peligroso virus 'cryptolocke'». El Correo. 29 de octubre de 2014. Consultado el 29 de octubre de 2014. 

Recuperación datos >https://www.youtube.com/watch?v=o2l-zFakKfk