CryptoLocker
CryptoLocker es un malware tipo troyano dirigido a computadoras con el sistema operativo Windows que se popularizó a finales de 2013.
El CryptoLocker se distribuye de varias formas, una de ellas como archivo adjunto de un correo electrónico. Una vez activado, el malware cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red usando criptografía de clave pública RSA, guardándose la clave privada en los servidores del malware.
Realizado el cifrado, muestra un mensaje en pantalla, en el cual ofrece descifrar los archivos afectados, si se realiza un pago antes de una fecha límite (a través de Bitcoins o con vales pre-pagos), y menciona que la clave privada será destruida del servidor, y que será imposible recuperarla si la fecha límite expira.
Si esto ocurre, el malware ofrece la posibilidad de descifrar los datos a través de un servicio en línea suministrado por los operadores del malware, con un precio en Bitcoin mucho más alto. A pesar que el malware es fácilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible de descifrar.
Modo de operación
El CryptoLocker se propaga principalmente como un archivo adjunto desde un correo electrónico aparentemente inofensivo, simulando ser un correo de una compañía legítima; o bien se descarga en una computadora infectada con un virus troyano anterior, conectada a un botnet.
Un archivo ZIP adjuntado al correo contiene un archivo ejecutable, con un icono y tipo de archivo que lo hacen parecer un archivo PDF, aprovechando el uso por defecto de Windows de ocultar la extensión de los archivos, que permite ocultar la extensión .EXE verdadera. En algunos casos, este archivo puede contener al troyano Zeus, que a su vez instala el CryptoLocker.
Cuando se ejecuta por primera vez, una parte suya se instala en la carpeta Documentos, con un nombre aleatorio, y luego, agrega una clave en el registro que hace que se ejecute al encenderse la computadora. Luego, intenta conectarse con uno de los servidores de control designados; una vez conectada, genera un par de claves RSA de 2048-bits, y envía la clave pública a la computadora infectada.
Debido a que el servidor designado puede ser un proxy local, que luego puede ser derivado a otros (a menudo en otros países), es difícil rastrearlo.
Finalizada su instalación, el malware comienza el proceso de cifrado de los archivos en discos locales, y en unidades de redes usando la clave pública, y registra cada archivo cifrado en el registro de Windows. Solamente cifra archivos con ciertas extensiones, las cuales incluyen archivos de Microsoft Office, OpenDocument, archivos de AutoCAD, imágenes y otros documentos. Finalizada el cifrado de archivos, el malware muestra un mensaje en pantalla informando que se han cifrado archivos, y exige el pago de 300 dólares americanos o euros a través de un vale pre-pago anónimo (por ejemplo, los de MoneyPak o Ukash) o de 0.5 Bitcoin, para descifrar los archivos. El pago debe ser realizado dentro de 72 ó 100 horas, caso contrario, la clave privada en el servidor será destruida, y «nadie y nunca serán capaces de recuperar archivos».
Si el pago es realizado, el usuario puede descargar el programa de descifrado, que viene pre-cargada la clave privada del usuario. Symantec estimó que el 3% de sus usuarios infectados con CryptoLocker decidieron pagar. Algunos usuarios infectados que han pagado reclamaron que sus archivos no fueron descifrados.
En noviembre de 2013, los operadores de CryptoLocker lanzaron un servicio en línea que dice que permite a los usuarios descifrar sus archivos sin usar el programa ofrecido por CryptoLocker, y que también permite comprar la clave privada de descifrado después de haber expirado la fecha límite. El proceso consiste en subir un archivo cifrado al sitio como muestra, y esperar a que el servicio encuentre una coincidencia en sus registros, el cual menciona que ocurre en 24 horas. Si encuentra una coincidencia, el sitio ofrece la posibilidad de realizar el pago desde el sitio web; si la fecha límite ya expiró, el costo se incrementa a 10 Bitcoin (un precio estimado de US$ 10000).
Mitigación
A pesar que los programas antivirus están diseñados para detectar tales amenazas, estos quizá no podrían detectar al CryptoLocker, o tal vez lo hagan cuando está cifrando archivos, o incluso cuando ya lo finalizó. Esto normalmente sucede cuando se distribuye una versión nueva del malware (un ataque de día cero). Como el proceso de cifrado tarda un tiempo, si el malware es eliminado tempranamente, limitaría su daño.
Algunos expertos sugieren tomar ciertas medidas preventivas, como usar aplicaciones que no permitan la ejecución del código de CryptoLocker.
Debido al modo de operación de CryptoLocker, algunos expertos sugieren que solamente pagando se pueden recuperar los archivos que no tengan una copia de seguridad (específicamente, aquellas copias inaccesibles desde una red).
El CryptoLocker también intenta borrar las copias de seguridad de Windows antes de cifrar los archivos. Debido a la longitud de la clave usada por el malware, se la considera casi imposible de obtenerla usando un ataque de fuerza bruta sin realizar el pago; un método similar utilizado por el gusano Gpcode.AK, el cual usaba una clave de 1024-bits, creída en aquel entonces computacionalmente imposible de romper sin usar computación distribuida, o bien descubriendo una forma de romper el cifrado.
A finales de octubre de 2013, la empresa en seguridad informática Kaspersky Lab anunció la creación de un DNS sinkhole, que permite bloquear los dominios usados por CryptoLocker.
