Caracasdigital Caracasdigital

  
 RUN RUN TECNOL脫GICO
Invitaci贸n, martes 18 de mayo, CASETEL webinar Transformaci贸n Digital

El 17 de mayo se celebra el D铆a Mundial de las Telecomunicaciones y de la Sociedad de la Informaci贸n, tambi茅n se...Leer m谩s


Publicado en Gaceta Oficial nuevo Reglamento sobre el Servicio Universal de Telecomunicaciones y su Fondo

En aras de minimizar las desigualdades que impiden un adecuado acceso a los servicios de telecomuni...Leer m谩s


驴Alertan sobre estafas mediante correos falsos del Ministerio P煤blico?

Es verdadero. Recientemente usuarios de las redes sociales denunciaron que estaban recibiendo corre...Leer m谩s


LG abandona la l铆nea de Celulares para impulsar su l铆nea de Tv
La muestra la dej贸 ver en la reciente feria global CES 2021, donde su principal innovaci贸n la bas贸 en su l铆nea de Te...Leer m谩s

Telef贸nica vende a m煤ltiplos r茅cord la divisi贸n de torres de Telxius a American Towers por 7.700 millones de euros
Telef贸nica ha informado que su filial Telxius Telecom, S.A. (sociedad del Grupo Telef贸nica participada minoritariament...Leer m谩s

IBM de Venezuela est谩 de aniversario

Todo comenz贸 el 18 de enero de 1938, cuando CA WATSON de M谩quinas Comerciales, abri贸 sus puertas...Leer m谩s


Wikipedia comenz贸 como una idea ambiciosa...

...Para crear una enciclopedia libre, escrita por voluntarios, para todos en el mundo. Parec铆a imp...Leer m谩s


China prepara una lista negra de empresas estadounidenses

China anunci贸 el establecimiento de una 鈥渓ista de entidades no fiables鈥, que 鈥渄a帽en graveme...Leer m谩s


Movistar estrena nueva imagen en su p谩gina web

- El nuevo dise帽o responde una estrategia global de la compa帽铆a de homolog...Leer m谩s


:::::::::::::::::::::::::::::::: Agregar Nuevo
===================Ver Todo

Opinan los Expertos

Lo que todo CIO debe conocer de su Centro de Datos
Paola Boccia
Directora Ejecutiva de Banesco Banco Universal

Lenovo y la revoluci贸n del software
Lorenzo Rub铆n
Sales & Operations Manager Venezuela, Bolivia, Uru

TECH: Nuestra fiel compa帽era
Rodolfo Carrano
Vice Presidente Comercial de Directv Venezuela

Rumbo a la era del IPv6
Agustin Speziale
Product Manager, Connectivity, Media & IP Level 3

La Ciudad Digital ser谩 el n煤cleo del progreso y el desarrollo d
Manuel Moreno
Gerente Regional de Marketing para Banda Ancha Ina
===================Ver Todo

Malware

Cuidado con 鈥淐riptoBit鈥, la 煤ltima amenaza detectada

Hace pocos d铆as en PandaLabs, el laboratorio antimalware de Panda Security, nos encontramos con un 鈥渞ansomware鈥 que, por su novedad y caracter铆sticas, resulta lo suficientemente interesante como para mostrar su funcionamiento. El nombre que hemos elegido para 茅l es 鈥淐riptoBit鈥.

Si lo comparamos con otros 鈥渞ansomwares鈥 conocidos hasta el momento, 鈥淐riptoBit鈥 es 煤nico en su especie. No solo por la pantalla diferenciadora que presenta al usuario solicit谩ndole el rescate de sus ficheros, sino por otras caracter铆sticas que detallaremos a continuaci贸n

Muestra analizada

El an谩lisis sobre el que se centra este informe est谩 basado en la siguiente muestra:

a67855dbd18652e99f13d29045b09391382bb8c817cda1e498cd01eb4a7bdf2c (sha256)

La muestra analizada se encuentra protegida gracias a un 鈥減acker鈥 propio y, tras desempaquetarla, podemos apreciar, adem谩s de una fecha de compilaci贸n reciente (5 de Abril de 2016 a las 12:20:55 PM), la ausencia -pr谩cticamente total- de cadenas de texto, indicios evidentes de que el autor de 鈥淐riptoBit鈥 ha querido dificultar el an谩lisis de su c贸digo.

Distribuci贸n

Tras analizar los datos proporcionados por los 鈥渟istemas de inteligencia colectiva鈥 de Panda Security, se determin贸 que el vector utilizado para distribuir 鈥滳riptoBit鈥 es el uso de 鈥淓xploits Kits鈥 que afectan a diferentes navegadores web.

Comportamiento

Una vez desempaquetada y analizada la muestra, podemos determinar con m谩s precisi贸n la funcionalidad b谩sica de 鈥淐riptoBit鈥:

驴C贸mo se comporta el ransomware?

1. Lo primero que hace 鈥淐riptoBit鈥 es comprobar los idiomas configurados para el teclado. Si el teclado est谩 configurado con uno de los siguientes c贸digos: 0x1a7, 0x419 (Russian) o 0x43f (Kazakh), el programa terminar谩 sin cifrar ning煤n fichero.

2. Tras comprobar que el teclado no est谩 en su 鈥渂lacklist鈥, 鈥淐riptoBit鈥 empezar谩 a recorrer todas las unidades de disco locales, carpetas de red, y unidades removibles (USB), en busca de ficheros que contengan alguna de las extensiones por las cuales se interesa. 驴Con qu茅 objetivo? Cifrar el contenido completo del fichero (otra caracter铆stica peculiar) para poder solicitar posteriormente su rescate.

3. En concreto 鈥淐riptoBit鈥 se interesa por las siguientes extensiones de ficheros:

ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip

Una vez finalizado el proceso de cifrado de ficheros, el usuario podr谩 ver c贸mo le 鈥渁parece en su equipo鈥 una ventana similar a la mostrada a continuaci贸n:

En este mensaje vemos algunos detalles que llaman la atenci贸n y que pueden servir para clasificar este nuevo 鈥渞ansomware鈥:

El ID mostrado 鈥58903347鈥

Para la muestra analizada, 茅ste valor resulta ser siempre el mismo. No importa si se ejecuta este Malware en repetidas ocasiones, o si se hace en diferentes equipos. Esto hace pensar que nos encontramos con un ID de 鈥渞ansomware鈥 m谩s que de usuario (o equipo).

La cantidad de 鈥渂itcoins鈥 a pagar

Por lo general, las cantidades exigidas, o bien son fijas, o tienen un l铆mite razonable. En este caso, vemos que el autor (o autores) de esta muestra solicitan un rescate 鈥渦n poco鈥 abusivo.

La forma de contacto

En este caso no existe un servidor web accesible a trav茅s de una URL, tampoco se le pide al usuario nada en concreto, o al menos se desconoce de entrada.

Se pide al usuario que contacte con una direcci贸n de correo (torrenttracker@india.com) de dudosa validez y, en el caso de no recibir respuesta, contactar con 茅l utilizando una aplicaci贸n denominada 鈥淏itmessage鈥; un 鈥渇ork鈥 de otra aplicaci贸n que podemos encontrar en 鈥済ithub鈥.

Adicionalmente, y por si este mensaje no fuera suficiente para convencerle de que sus ficheros han sido cifrados, cada vez que 茅ste acceda a una carpeta con alguno de estos ficheros ahora indescifrables, descubrir谩 all铆 tambi茅n un par de ficheros 鈥渆xtra鈥 creados de forma intencionada:

OKSOWATHAPPENDTOYOURFILES.TXT

Si visualizamos este fichero nos encontramos con el mismo mensaje (esta vez en formato texto) que se le mostr贸 al usuario una vez finalizado el cifrado de sus ficheros.
sekretzbel0ngt0us.KEY

En este segundo fichero podemos ver una secuencia hexadecimal de longitud 1024 que, una vez decodificada, corresponder铆a a una secuencia binaria de 512 bytes (o 4096 bits).

M谩s adelante, en el apartado de 鈥淐ifrado鈥, se mostrar谩 cual es el sentido del fichero denominado 鈥渟ekretzbel0ngt0us.KEY鈥, y la encriptaci贸n que ha sido utilizada para cifrar los ficheros.

3. Otra acci贸n que realiza 鈥淐riptoBit鈥, ya de forma transparente para el usuario, es realizar una petici贸n HTTP a:

http://videodrome69.net/knock.php?id=58903347

Nota: el script 鈥渒nock.php鈥 solicitado aparentemente no existe, por lo que se ignoran los motivos reales de esta 煤ltima acci贸n.

Cifrado de Ficheros

Para cifrar los ficheros, 鈥淐riptoBit鈥 hace uso del algoritmo AES (鈥淎dvanced Encryption Est谩ndar鈥) generando, en cada ejecuci贸n, una clave aleatoria de longitud 32 bytes (256 bits), lo cual hace pr谩cticamente imposible descifrar los ficheros salvo que 茅sta sea conocida.

Para no perder esta clave y poder descifrar los ficheros si se paga el rescate, el autor de este 鈥渞ansomware鈥, almacena la clave AES generada cifrada utilizando el algoritmo RSA.

La 鈥渃lave p煤blica鈥 que elige es de longitud 4096 bits, y la podemos encontrar 鈥渉ardcodeada鈥 dentro de la muestra analizada.

Una vez cifrada la clave AES con RSA, 茅sta se almacenar谩 en los ficheros denominados 鈥渟ekretzbel0ngt0us.KEY鈥, solamente comprensibles si se dispone de la correspondiente 鈥渃lave privada鈥 RSA, que en principio estar铆a 煤nicamente en posesi贸n por el autor de este cifrador.

Dentro de este apartado, un detalle que llama la atenci贸n es la ausencia de llamadas a librer铆as nativas para cifrar los ficheros utilizando RSA. 鈥淐riptoBit鈥 hace uso de una serie de rutinas compiladas est谩ticamente que le permiten operar con n煤meros grandes (鈥渂ig numbers鈥), reproduciendo de esta forma el algoritmo de cifrado RSA.

Conclusiones

El fen贸meno 鈥渞ansomware鈥 no pasa de moda y nos encontramos a diario con muestras nuevas que nos siguen sorprendiendo. En este caso no tanto por el uso de 鈥渃riptograf铆a seria鈥 (AES + RSA), algo que est谩 estandariz谩ndose cada vez m谩s, sino por lo ambicioso del mismo, su buen dise帽o, y las ideas interesantes que hemos podido apreciar en 茅l.

Como siempre, nuestra recomendaci贸n para personas es que mantengan sus soluciones de seguridad inform谩tica y antivirus actualizados y realice con periodicidad 鈥渂ackups鈥 de sus archivos ficheros importantes; y para empresas, combinar sus soluciones de seguridad inform谩tica con sistemas de protecci贸n avanzada que le permitan clasificar todos los procesos en ejecuci贸n y detener, antes de que se ejecuten ataques del tipo ransomware, como CriptoBit.

En Panda Security, contamos con soluciones que se adaptan a las caracter铆sticas y necesidades de cada usuario, y todas cuenta con el soporte de nuestro laboratorio antimalware, PandaLabs, y el respaldo de nuestra tecnolog铆a de Inteligencia Colectiva, que nos permite identificar nuevas amenazas como CriptoBit e impedir que accedan a sus equipos, coment贸 Roxana Hern谩ndez, gerente general de Panda Security para Colombia, Ecuador y Venezuela.

Cuidado con 鈥淐riptoBit鈥, la 煤ltima amenaza detectada
Env韊 este art韈ulo a un amigo Imprima este art韈ulo   

Comentarios


Comentar



Esta nota/art韈ulo ha sido originalmente publicado por www.caracasdigital.com, el 28 de Abril de 2016..

Caracas Digital no se hace responsable por los juicios de valor emitidos por sus colaboradores y columnistas de opini髇 y an醠isis.

Aceptamos colaboraciones previa evaluaci髇 por nuestro equipo editorial, estamos abiertos a todo tipo o corriente de opiniones, siempre y cuando a nuestro juicio est閚 dentro de valores 閠icos y morales razonables.

Usted puede reproducir, reimprimir, y divulgar este art韈ulo a trav閟 de los medios audiovisuales e Internet, siempre que identifique a la fuente original, http://www.caracasdigital.com