Durante esta semana se han estado recibiendo varios informes
provenientes de todo
Latinoamérica sobre una amenaza del tipo Ransomware
que afecto a varios usuarios. La amenaza se autodenomina
"Anti-child Porn Spam Protection 2.0"
y se caracteriza por bloquear el equipo y cifrar la información dentro
del mismo para luego pedir un rescate de dinero a cambio de la
contraseña que descifra los archivos. La amenaza es detectada desde un
principio como
Win32/FileCoder.NAC o como
Win32/FileCoder.NAG (o posibles variantes de ambos) por los productos de ESET.
Una vez que la amenaza ingresa al equipo, el proceso principal de la
misma bloquea la pantalla al usuario presentando una falsa pantalla azul
de Windows (BSoD) con el siguiente mensaje:
A problem has been detected and Windows has been shut down to prevent damage to your computer.
A process or thread crucial to system operation has unexpectedly exited or been terminated.
If this is the first time you've seen this Stop error screen, restart
your computer. If this screen appears again, follow these steps:
Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software
manufacturer for any Windows updates you might need.
If problems continue, disable or remove any newly installed hardware or
software. Disable BIOS memory options such as caching or shadowing. If
you need to use Safe Mode to remove or disable components, restart your
computer, press F8 to select Advanced Startup Options, and then select
Safe Mode.
Technical Information:
*** STOP: 0x000000F4 (0x00000003,0x81BAD8D8,0x81BADA3C,0x80944490)
A diferencia de versiones anteriores, la versión actualmente circulando
de este malware genera dos claves totalmente aleatorias compuestas por
cadenas complejas que rondan entre los 80 a 114 caracteres, que serán
luego utilizadas para el proceso de cifrado de los archivos del sistema
afectado.
Ejemplo de las claves generadas aleatoriamente:
9DF19AB897351C2A0A0FE18A6A73722EDM66BSAl3jBe2a3K8L275j34525b3&E=4RDP4-9y8Q1j3zDa9G9u3bD04t4dFuEO7M2%4zFT (104 caracteres)
6B1783B4656C5433B430F2CC28070B4E6^1HDq9JEV1+9L0SFr9(6aDu3rF8Cg6X7gC3F#D07LAxFgAD7&9G1%6S4k4YFzEm7^2g4PF*C%9y2T9
(112 caracteres)
Una vez generadas las claves, el malware también genera un ID de
infección, el cual será solicitado más adelante para poder reclamar las
claves anteriores, previo pago del rescate .
El ID y las claves generadas aleatoriamente y utilizadas para el cifrado
de los archivos son enviadas al autor de la amenaza y luego eliminadas
del equipo.
Para cifrar el contenido de los archivos, el malware realiza una copia
utilizando el algoritmo AES provisto por la herramienta WinRAR, creando
de esta forma archivos ejecutables, cifrados, seguros, con un algortimo
AES de 128bits. Luego de realizar este proceso, elimina el archivo
original del sistema afectado utilizando la herramienta de
Sysinternals Sdelete, la cual utiliza el estándar del departamento de defensa de los Estados Unidos
(DoD) DOD 5220.22, el cual establece la eliminación segura de datos, siendo imposible recuperar los mismos una vez eliminados.
Una vez finalizado todo el proceso, los archivos cifrados aparecerán dentro del disco con la siguiente estructura de nombre:
Nombre_de_archivo_original.Ext.(!! to get password email id 1111111 to XXXrasecinfo@gmail.com !!).exe
En donde:
- 1111111: es el ID de infección, el cual es necesario para reclamar la clave de descifrado.
- XXXrasecinfol@gmail: la dirección de mail a donde enviar la información para el recupero de los archivos.
Según
diversos análisis,
hasta el momento no es posible recuperar los archivos cifrados, debido
al método de cifrado y tamaño de clave utilizada por el
Ransomware.
Después del pago, el delincuente envia un correo con las contraseñas de
descifrado y una herramienta de descifrado que se podría utiliza en caso
de que las contraseñas no funcionen. Los datos enviados son los
siguientes:
Your Locker password: PASSWORD0
1st Decrypt password: PASSWORD1
2st Decrypt password: PASSWORD2
3st Decrypt password: PASSWORD3
Decryption tool (password to the archive: 123)
Download decryption tool pass 123.zip from Sendspace.com
Download it and unpack to any folder. Also program require administrative rules (use administrator account).
Copy paste 1st Decrypt password, 2st Decrypt password and 3st Decrypt passwords in decrypt tool 3 fields.
If you have not stop our software - use decryption tool, because the tool will stop our software before decrypting the files.
This is very important to stop our software service (and dont delete any
files in ProgramData folder before stop) because your decrypted files
may will be encrypted again.
Como se esto fuera poco, el delincuente informa de las técnicas de
cifrado y eliminación de los archivos, así de porqué es obligatorio el
pago. El correo es muy divertido y aquí dejamos una parte del mismo:
Please don't panic and send us angry emails or scare us to send claims in police, fbi or others - this is useless.
Stupid questions like - "I have backup and need only 1-2 files and can
pay you only 500,1000,1500$ USD etc., We have a small business, this
amount is too high" - will be ignored. Have backup - restore your files
from it.
Our minimal price for your files is 4000$ USD. We don't get passwords
for free or for 500,1000,1500$ USD etc. We know that you have money.
Information topersons who believe that professionals can decrypt files:
**** Now only WE can get you the true password to decrypt all your files.
You can write to Dr.Web, Eset,Panda and other antivirus and security or
datarestore companies,but now this is useless. This "Anti-Child Porn
Spam Protection - 2.0 version" you have is from 22.03.2013 - more than 3
month passed and no one helped to get password or decrypt files.
La metodología utilizada por los desarrolladores maliciosos para
infectar los equipos y las razones por las cuales los usuarios pueden
haber sido afectados son las siguientes:
- Los usuarios maliciosos intentan acceder al equipo por medio del
escritorio remoto de Windows (Puerto 3389) y realizan un ataque de
fuerza bruta hasta lograr acceder. Aparentemente estos ataques fueron
realizados durante los fines de semana para evitar sospechas.
- Luego, de no poseer privilegios de administrador, intentan
obtenerlos por medio de la ejecución de exploits que afectan al
Escritorio Remoto de Windows (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223).
- Una vez logrados los privilegios de administrador, intentan
desactivar o desinstalar cualquier solución antivirus que estuviera
instalada dentro del equipo. Debido a que disponen de privilegios esto
no es un problema.
- Por último proceden a descargar y ejecutar la amenaza, la cual
cifra cualquier archivo que pudiera contener información importante
(.doc, .pdf, .mdb, .txt, .xls, .jpg, .png, etc) con una contraseña
alfanumérica creada de manera completamente aleatoria y que es enviada
automáticamente al desarrollador malicioso vía mail. Luego la amenaza
borra de forma segura el archivo que contenía la contraseña de manera
que sea irrecuperable utilizando SDelete (http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx)
y procede a bloquear el equipo con una pantalla que avisa de la
infección y de cómo se debe pagar para recuperar los archivos cifrados.
Si bien la amenaza es detectada por los productos, queremos brindarles
una serie de consejos para evitar este tipo de infecciones:
- Utilizar contraseñas fuertes (alfanuméricas de mínimo 8 caracteres
de longitud y que contengan mayúsculas y algún carácter especial) para
todos los usuarios.
- Preferentemente no tener publicado el servicio de escritorio remoto
a Internet y de ser necesario que solo sea accesible mediante
conexiones de red seguras como son las VPN.
- Tener actualizado los equipos con todos los parches de seguridad
correspondiente (puntualmente aquellos que solucionan los exploits http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223)
- Poseer una política definida de backups que aloje los mismos dentro de sistemas protegidos.
- Realizar auditorías de seguridad de manera regular dentro de la red
para evaluar la seguridad de los equipos accesibles desde Internet.
