EnHacke
>

Eset detectó nuevo código malicioso que pide dinero a cambio de descifrar archivos

eset150Durante el año paso, el Laboratorio de Investigación de ESET Latinoamérica alertó sobre el aumento de los Filecoders, troyanos que cifran la información de los usuarios, para luego exigir el pago de un rescate a cambio de la misma. Recientemente se ha descubierto una nueva familia de códigos maliciosos de este tipo, que se presenta como Cryptolocker 2.0.

La evolución de estos códigos maliciosos, del tipo ransomware, radica en el uso de algoritmos cada vez más complejos que imposibilitan o dificultan la recuperación de los archivos. Frente al aumento de este malware, ESET recomienda seguir los siguientes consejos:

•    Mostrar las extensiones de archivo ocultas: por defecto, Windows oculta las extensiones de archivo conocidas. Aprovechándose de eso, una de las formas en las que se propaga Cryptolocker es a través de archivos con la extensión “.PDF.EXE”. Activando la posibilidad de ver la extensión completa de un archivo, puede ser más fácil detectar cuándo se trata de alguno sospechoso.

•    Filtrar los archivos .EXE en el mail: si el gateway del correo tiene la posibilidad de filtrar archivos por extensiones, se puede optar por denegar aquellos que se envíen con “.EXE” o por denegar mails que contengan dos extensiones, siendo la última ejecutable. Una alternativa sería reemplazar los ejecutables con archivos ZIP protegidos con contraseña, o a través de servicios en la nube.

•    Desconectarse de Internet: en caso de ejecutar un archivo que se sospecha puede ser ransomware, si todavía no apareció la típica pantalla de bloqueo pidiendo el rescate y si se actúa con rapidez, es posible detener la comunicación con el Centro de Comando y Control antes de que el malware termine de cifrar los archivos. Si se desconecta el equipo de la red de forma inmediata, es posible mitigar el impacto del ransomware.

•    Deshabilitar cualquier usuario por defecto que no esté en uso dentro del sistema.

• Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. De existir esta protección, sería más complejo para la infección ejecutarse exitosamente.

 Realizar auditorías de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.

“Remarcamos la importancia de tener un backup de los datos adecuado, ya que es la única manera de combatir el ransomware. Y por supuesto, recomendamos a los usuarios que actualicen sus soluciones de seguridad y las protejan con contraseñas fuertes”, dijo  Róbert Lipovský, Malware Researcher de ESET.

El funcionamiento de la nueva familia de malware detectada por ESET es el siguiente: después de la infección, escanea la estructura de carpetas de la víctima en busca de archivos que coincidan con un conjunto de extensiones; luego se los cifra y se muestra una ventana de mensaje que exige un rescate para descifrarlos.

En septiembre, el Equipo de Laboratorio de ESET había detectado a Cryptolocker, un código malicioso con un funcionamiento similar pero que presenta diferencias en las implementaciones y en el lenguaje de programación utilizado con respecto a este nuevo ransomware.
“Cryptolocker parece estar más orientado a usuarios corporativos ya que no cifra los archivos de música, imagen y video, mientras que Cryptolocker 2.0 sí incluye en su lista de objetivos extensiones de archivo como .mp3, .mp4, .jpg, .png, .avi, .mpg, entre otras”, aseguró Róbert Lipovský, Malware Researcher de ESET.

El ransomware se está consolidando en América Latina y ya existen varios usuarios afectados en la región. Entre ellos se destaca Multi Locker, y México como el país más afectado por este tipo de malware. Nymaim es otro código malicioso que afecta a dicho país y que solicita una suma de dinero que asciende a los 150 dólares aproximadamente por el rescate del equipo.

 

CryptoLocker, un nuevo ransomware que secuestra documentos del usuario

cryptolocker_150

A diferencia de otro tipo de malware, el modelo de negocio de CryptoLocker se basa en el secuestro de los documentos del usuario, pidiendo un rescate por ellos. Panda Security aconseja extremar las precauciones ante emails no esperados y tener un sistema de backup.

Panda Security alerta de la propagación de una nueva familia de ransoms llamada CryptoLocker, que, al igual que el virus de la policía, busca extorsionar a sus víctimas, con la diferencia que, en lugar de pagar para poder recuperar el equipo, exige un pago para recuperar documentos del usuario.

El método de infección que utiliza CrytoLocker es la transmisión por email mediante el uso de ingeniería social, para conseguir que sea el propio usuario quien lo ejecute. La víctima recibe así un correo simulando provenir de una empresa de logística, que lleva adjunto un ZIP. Al abrirlo introduciendo la contraseña que le viene en el email, cree que dentro hay un fichero PDF, y al abrir el falso PDF es cuando ejecuta el troyano, que se instala como residente en el equipo, realizando una copia de seguridad de sí mismo en una ruta del perfil del usuario, creando una entrada en los autoruns para asegurarse la ejecución al reinicio, dos procesos de sí mismo para proteger el proceso original frente a cierres, y cifrando los ficheros en disco.

El troyano genera una clave simétrica aleatoria por cada fichero que va a cifrar, y después cifra la clave aleatoria con un algoritmo asimétrico de clave pública-privada (RSA) y la añade al fichero cifrado. Cuando el troyano ha terminado de cifrar todos los ficheros que tiene a su alcance, muestra un mensaje en el que pide el rescate, dando un tiempo máximo para pagar antes de destruir la clave privada que guarda el autor.

Panda Security aconseja extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos, y tener un sistema de backup de los ficheros críticos. Además, como CryptoLocker se aprovecha de la política de Windows de ocultar las extensiones por defecto, Panda recomienda desactivarla.

 

Reaparace un troyano de Mac OS X

La existencia de malware para Mac OS es mínima si se compara con otros sistemas operativos, pero los ciberdelincuentes no olvidan la plataforma de Apple.

El pasado otoño se descubrió un malware bautizado como ‘Revir and Imuler’ que intentaba forzar a los usuarios de Mac a instalar el malware en sus sistemas y después enviaba la información personal que encontraba a servidores remotos.

La estafa utilizaba un programa troyano llamado OS X/Revir.A que cuando funcionaba descargaba PDF con contenido político ofensivo en idiomas extranjeros y después instalaba un agente de puerta trasera llamado OS X/Imuler.A. De esta forma se conectaba a los servidores remotos y enviaba información sobre el sistema del usuario.

El malware no funcionaba bien y parecía estar en base beta, pero tenía el potencial de hacer daño. Ahora Eset informa de que ha encontrado una nueva variante del malware Imuler, que en lugar de utilizar un ataque en dos partes se disfraza de archivos ZIP que tienen imágenes eróticas. Cuando se abre, el ZIP muestra una serie de archivos, la mayoría de los cuales son archivos de imágenes fijas que no dañan el sistema, pero en medio está un archivo de aplicación  disfrazado como una imagen.

Si el usuario abre el programa, el malware se conectará directamente a los servidores remotos y descarga un programa llamado CurlUpload, que empaqueta las capturas de pantalla y otra información en un archivo comprimido que después sube. La acción se repite cada vez que se abre el malware.

A esta nueva variante se la ha identificado como OSX/Imuler.C y se ha añadido a las definiciones de virus de las soluciones de seguridad. La naturaleza de la amenaza hace que evitarla sea relativamente fácil, ya que sólo hay que esquivar los archivos desconocidos, sobre todo si están en formato Zip y tienen contenido erótico.