no moreEl ransomware es uno de los métodos de ataque más comunes y efectivos en la actualidad, y todo indica que esta tendencia no cambiará a corto plazo. En noviembre, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), el mayor proveedor mundial especializado en seguridad, descubrió que el número de secuestros de datos online había crecido: su Índice de Amenazas Global indicaba que el número de ataques usando Locky y Cryptowall había aumentado un 10%.
El equipo de investigadores de amenazas de Check Point revela el descubrimiento de dos nuevas familias, así como sus correspondientes soluciones de descifrado, que pueden ayudar a las víctimas a recuperar de forma gratuita sus datos perdidos. Check Point es partner del proyecto No More Ransom (NMR), cuyo objetivo es luchar contra la epidemia del secuestro digital. Por ello, las nuevas herramientas de descifrado son de uso público.
DeriaLock: Ransomware que muta en cuestión de horas
DeriaLock es un peculiar malware que ha evolucionado de manera muy rápida. Cuando apareció por primera vez el 24 de diciembre de 2016, lo único que hacía era tomar el control de la pantalla de la víctima e impedirle acceder a su ordenador. Era una molestia, pero no causaba daños reales. Dos días después, se descubrió otra variante. Esta vez incluía un mecanismo de cifrado de archivos, y amenazaba a los usuarios con borrar todos sus ficheros si reiniciaban sus equipos.
Karsten Hahn, el analista de malware que descubrió por primera vez DeriaLock, señaló en Twitter que esta era una amenaza vacía. Al menos durante unas horas, hasta que la última variación del ransomware apareció. La versión actual incluye todas estas funciones: bloqueo de pantalla, cifrado de archivos y eliminación de ficheros después de reiniciar.
En este momento, la demanda de rescate es de sólo 30 dólares, un precio no muy alto en comparación con otras familias activas. Los investigadores de Check Point han encontrado una manera de explotar varios defectos en su programación. Esto les ha permitido crear herramientas de descifrado que ayudan a las víctimas a recuperar sus archivos y evitar tener que pagar.
2 – PHP Ransomware
El equipo de investigadores de Check Point también ha descubierto un nuevo ransomware en forma de un script PHP. La primera vez que lo encontraron fue accediendo al dominio hxxp://med-lex[.]com. Aunque esta amenaza encripta los archivos de la víctima, no es exactamente un “ransomware” per se.
A diferencia de la mayoría del malware de secuestro de datos más populares, este script no muestra ninguna nota de rescate ni intenta recibir un pago para descifrarlos archivos. Por el contrario, sólo los cifra sin ofrecer ninguna opción para recuperarlos. Tampoco se intenta comunicar con un servidor de comando y control, lo que generalmente permite rastrear el número de máquinas infectadas, descargar ejecutables u otras actividades malignas.
El PHP Ransomware comienza escaneando el sistema repetidamente. Cuando se encuentra con un directorio, comprueba sus subcarpetas y busca los archivos relevantes, para averiguar si contienen alguna de estas extensiones:
zip, rar, r00 ,r01 ,r02 ,r03, 7z, tar, gz, gzip, arc, arj, bz, bz2, bza, bzip ,bzip2, ice, xls, xlsx, doc, docx, pdf ,djvu ,fb2,rtf, ppt, pptx, pps, sxi, odm, odt, mpp, ssh, pub, gpg, pgp, kdb, kdbx, als, aup, cpr, npr, cpp, bas, asm, cs, php, pas, class, py, pl, h, vb ,vcproj, vbproj, java, bak, backup, mdb, accdb, mdf, odb, wdb, csv, tsv, sql, psd, eps, cdr, cpt, indd, dwg, ai, svg, max, skp, scad, cad, 3ds, blend, lwo, lws, mb, slddrw, sldasm, sldprt, u3d, jpg, jpeg, tiff, tif, raw, avi, mpg, mp4, m4v, mpeg, mpe, wmf, wmv, veg, mov, 3gp, flv, mkv, vob, rm, mp3, wav, asf, wma, m3u, midi, ogg, mid, vdi, vmdk, vhd, dsk, img, iso
Si uno de los archivos coincide con las extensiones anteriores, el script cambia los permisos de acceso y permite al propietario y a otros usuarios leer, escribir y ejecutar el archivo. Después lee los primeros 2048 bytes del archivo y los cifra. Si el tamaño del archivo es menor de 2 MB, se cifrará completamente. Además, una extensión “.crypted” se agrega al nombre del archivo sin omitir el original.
Check Point facilita en su blog los enlaces para descargar ambos descifradores, así como las instrucciones de uso de cada uno de ellos. Además, recomienda utilizar las herramientas con precaución, ya que sólo son efectivas contra las versiones actuales de Derialock y de PHP ransomware. Las compañías de seguridad y los hackers permanecen en un eterno juego del ratón y el gato, por lo que existe la posibilidad de que los ciberatacantes lancen nuevas versiones del malware que haga imposible recuperar los archivos. Por lo tanto, la empresa no se hace responsable de los intentos fallidos de descifrar ficheros utilizando estas herramientas.
Antes de iniciar el proceso de descifrado, Check Point recomienda realizar una copia de seguridad de su disco duro. El usuario también tiene que estar familiarizado con el procedimiento específico de cómo iniciar su ordenador en modo seguro, ya que si no inicia el equipo de esta manera todos sus datos serán eliminados.
Ilustración (c) Ton Snoei vía Shutterstock