21 de agosto de 2014

ZEROLOCKER. El ransomware que simula a un descifrador

En los últimos meses hemos visto distintos malware ransomware , aunque el funcionamiento de todas es similar: se descarga de manera oculta en el sistema y se instala cuando el usuario, por error, la ejecuta. Una vez se ejecuta, el ransomware empieza a cifrar todos los archivos personales del usuario y, una vez finaliza el proceso, muestra un mensaje al usuario advirtiendo de ello y pidiendo el rescate.
Detalle del nuevo ransomware ZeroLocke
  • ZeroLocker (Trojan-Ransom.MSIL.Agent.uh) se distribuye como una herramienta de seguridad desarrollada para descifrar los archivos cifrados por este peligroso tipo de malware.
  • Cuando ZeroLocker se instala en el sistema comienza automáticamente a cifrar los archivos personales del usuario. Una vez finaliza, reinicia el sistema forzado y muestra el temido mensaje a la víctima en el que se indica, como en otros casos, que debe pagar para recuperar los archivos. El valor del rescate ha aumentado notablemente desde un precio inicial de 300 dólares hasta alcanzar los 1000 dólares en tan sólo 10 días, un precio desorbitado pero, en ocasiones, asumible a cambio de recuperar los archivos.
  • Como buena noticia, este ransomware, al igual que otros muchos tiene un fallo de seguridad muy grave que permite a las víctimas recuperar sus archivos fácilmente. ZeroLocker no elimina el Volume Shadow Service (VSS) de Windows, módulo encargado de hacer copias de seguridad de los archivos de usuario cuando son modificados, aunque estos se encuentren en uso (es el módulo utilizado para crear los puntos de restauración). Si este módulo se encuentra activado, cuando el ransomware cifra los archivos automáticamente se crea un archivo de seguridad para descifrarlos y volver así a la versión anterior del mismo. Sin embargo, la mayoría de los usuarios únicamente tiene la restauración del sistema activada para la unidad C, por lo que si se cifran archivos en otra unidad estos serán completamente irrecuperables.
  • De igual forma, en futuras versiones de este ransomware este fallo se eliminará.
  • ZeroLocker utiliza un cifrado AES de 160 bits para cifrar los archivos. Una vez los cifra envía los datos del sistema, así como la clave de cifrado el código CRC32 y la MAC del ordenador a un servidor que, en realidad, no existe, por lo que probablemente este sea uno de los ejemplos en los que, aunque paguemos, nunca recibiremos la clave de descifrado. La dirección de la cartera de Bitcoin también varía automáticamente de manera que seguir el dinero es muy complicado. Un peligroso malware que podría aumentar su agresividad y peligrosidad en las próximas versiones.
Recomendación
  • En caso de ser infectados por este u otro ransomware debemos evitar realizar el pago del rescate. En muchas ocasiones encontraremos plataformas que nos ayudarán a a descifrar los archivos (páginas web, empresas antivirus, etc) y, para evitar daños mayores, siempre debemos tener una copia de seguridad de los archivos más críticos en una unidad desconectada del ordenador principal.
Fuente: SecureList