¿Qué es CryptoLocker y cómo evitarlo? La directriz de Semalt

CryptoLocker es un ransomware. El modelo de negocio del ransomware es extorsionar a los usuarios de Internet. CryptoLocker mejora la tendencia desarrollada por el infame malware "Police Virus" que le pide a los usuarios de Internet que paguen dinero por desbloquear sus dispositivos. CryptoLocker secuestra documentos y archivos importantes e informa a los usuarios que paguen el rescate dentro de una duración establecida.

Jason Adler, el Gerente de Éxito del Cliente de Semalt Digital Services, desarrolla la seguridad de CryptoLocker y ofrece algunas ideas convincentes para evitarla.

Instalación de malware

CryptoLocker aplica estrategias de ingeniería social para engañar a los usuarios de Internet para que lo descarguen y lo ejecuten. El usuario de correo electrónico recibe un mensaje que tiene un archivo ZIP protegido con contraseña. El correo electrónico pretende ser de una organización que está en el negocio de la logística.

El troyano se ejecuta cuando el usuario del correo electrónico abre el archivo ZIP con la contraseña indicada. Es difícil detectar el CryptoLocker porque aprovecha el estado predeterminado de Windows que no indica la extensión del nombre del archivo. Cuando la víctima ejecuta el malware, el troyano realiza varias actividades:

a) El troyano se guarda en una carpeta ubicada en el perfil del usuario, por ejemplo, LocalAppData.

b) El troyano introduce una clave para el registro. Esta acción asegura que se ejecute durante el proceso de arranque de la computadora.

c) Se ejecuta en base a dos procesos. El primero es el proceso principal. El segundo es la prevención de la terminación del proceso principal.

Cifrado de archivos

El troyano produce la clave simétrica aleatoria y la aplica a cada archivo cifrado. El contenido del archivo se cifra utilizando el algoritmo AES y la clave simétrica. La clave aleatoria se encripta posteriormente utilizando el algoritmo de cifrado de clave asimétrica (RSA). Las claves también deben tener más de 1024 bits. Hay casos en los que se utilizaron claves de 2048 bits en el proceso de cifrado. El troyano asegura que el proveedor de la clave RSA privada obtenga la clave aleatoria que se utiliza en el cifrado del archivo. No es posible recuperar los archivos sobrescritos utilizando el enfoque forense.

Una vez ejecutado, el troyano obtiene la clave pública (PK) del servidor C&C. Al localizar el servidor C&C activo, el troyano utiliza el algoritmo de generación de dominio (DGA) para producir los nombres de dominio aleatorios. DGA también se conoce como el "tornado de Mersenne". El algoritmo aplica la fecha actual como la semilla que puede producir más de 1,000 dominios diariamente. Los dominios generados son de varios tamaños.

El troyano descarga el PK y lo guarda dentro de la clave HKCUSoftwareCryptoLockerPublic. El troyano comienza a cifrar archivos en el disco duro y los archivos de red que abre el usuario. CryptoLocker no afecta a todos los archivos. Solo se dirige a los archivos no ejecutables que tienen las extensiones que se ilustran en el código del malware. Estas extensiones de archivos incluyen * .odt, * .xls, * .pptm, * .rft, * .pem y * .jpg. Además, CryptoLocker inicia sesión en cada archivo que se ha cifrado en HKEY_CURRENT_USERSoftwareCryptoLockerFiles.

Después del proceso de encriptación, el virus muestra un mensaje solicitando el pago del rescate dentro del tiempo establecido. El pago debe hacerse antes de que se destruya la clave privada.

Evitar CryptoLocker

a) Los usuarios de correo electrónico deben sospechar de los mensajes de personas u organizaciones desconocidas.

b) Los usuarios de Internet deben deshabilitar las extensiones de archivo ocultas para mejorar la identificación del malware o ataque de virus.

c) Los archivos importantes deben almacenarse en un sistema de respaldo.

d) Si los archivos se infectan, el usuario no debe pagar el rescate. Los desarrolladores de malware nunca deberían ser recompensados.

mass gmail