{"id":6301,"date":"2014-01-24T00:06:38","date_gmt":"2014-01-23T23:06:38","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=6301"},"modified":"2014-01-24T00:19:44","modified_gmt":"2014-01-23T23:19:44","slug":"todo-sobre-cryptolocker","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/todo-sobre-cryptolocker\/","title":{"rendered":"Todo sobre Cryptolocker."},"content":{"rendered":"

CryptoLocker<\/strong><\/p>\n

<\/strong>CryptoLocker es un malware tipo troyano<\/strong> dirigido a computadoras con el sistema operativo Windows que se populariz\u00f3 a finales de 2013<\/strong>.<\/p>\n

El CryptoLocker se distribuye de varias formas, una de ellas como archivo adjunto de un correo electr\u00f3nico. Una vez activado, el malware cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red usando criptograf\u00eda de clave p\u00fablica RSA, guard\u00e1ndose la clave privada en los servidores del malware.<\/p>\n

Realizado el cifrado, muestra un mensaje en pantalla, en el cual ofrece descifrar los archivos afectados, si se realiza un pago antes de una fecha l\u00edmite (a trav\u00e9s de Bitcoins o con vales pre-pagos), y menciona que la clave privada ser\u00e1 destruida del servidor, y que ser\u00e1 imposible recuperarla si la fecha l\u00edmite expira.<\/p>\n

Si esto ocurre, el malware ofrece la posibilidad de descifrar los datos a trav\u00e9s de un servicio en l\u00ednea suministrado por los operadores del malware, con un precio en Bitcoin mucho m\u00e1s alto. A pesar que el malware es f\u00e1cilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible de descifrar<\/strong>.<\/p>\n

<\/p>\n

Modo de operaci\u00f3n<\/strong><\/p>\n

El CryptoLocker se propaga principalmente como un archivo adjunto desde un correo electr\u00f3nico aparentemente inofensivo, simulando ser un correo de una compa\u00f1\u00eda leg\u00edtima; o bien se descarga en una computadora infectada con un virus troyano anterior, conectada a un botnet.<\/p>\n

Un archivo ZIP adjuntado al correo contiene un archivo ejecutable, con un icono y tipo de archivo que lo hacen parecer un archivo PDF, aprovechando el uso por defecto de Windows de ocultar la extensi\u00f3n de los archivos, que permite ocultar la extensi\u00f3n .EXE verdadera. En algunos casos, este archivo puede contener al troyano Zeus, que a su vez instala el CryptoLocker.<\/p>\n

Cuando se ejecuta por primera vez, una parte suya se instala en la carpeta Documentos, con un nombre aleatorio, y luego, agrega una clave en el registro que hace que se ejecute al encenderse la computadora. Luego, intenta conectarse con uno de los servidores de control designados; una vez conectada, genera un par de claves RSA de 2048-bits, y env\u00eda la clave p\u00fablica a la computadora infectada.<\/p>\n

Debido a que el servidor designado puede ser un proxy local, que luego puede ser derivado a otros (a menudo en otros pa\u00edses), es dif\u00edcil rastrearlo.
\nFinalizada su instalaci\u00f3n, el malware comienza el proceso de cifrado de los archivos en discos locales, y en unidades de redes usando la clave p\u00fablica, y registra cada archivo cifrado en el registro de Windows. Solamente cifra archivos con ciertas extensiones, las cuales incluyen archivos de Microsoft Office, OpenDocument, archivos de AutoCAD, im\u00e1genes y otros documentos. Finalizada el cifrado de archivos, el malware muestra un mensaje en pantalla informando que se han cifrado archivos, y exige el pago de 300 d\u00f3lares americanos o euros a trav\u00e9s de un vale pre-pago an\u00f3nimo (por ejemplo, los de MoneyPak o Ukash) o de 0.5 Bitcoin, para descifrar los archivos. El pago debe ser realizado dentro de 72 \u00f3 100 horas, caso contrario, la clave privada en el servidor ser\u00e1 destruida, y “nadie y nunca ser\u00e1n capaces de recuperar archivos”.<\/p>\n

Si el pago es realizado, el usuario puede descargar el programa de descifrado, que viene pre-cargada la clave privada del usuario.\u00a0Symantec estim\u00f3 que el 3% de sus usuarios infectados con CryptoLocker decidieron pagar. Algunos usuarios infectados que han pagado reclamaron que sus archivos no fueron descifrados.<\/p>\n

En noviembre de 2013, los operadores de CryptoLocker lanzaron un servicio en l\u00ednea que dice que permite a los usuarios descifrar sus archivos sin usar el programa ofrecido por CryptoLocker, y que tambi\u00e9n permite comprar la clave privada de descifrado despu\u00e9s de haber expirado la fecha l\u00edmite. El proceso consiste en subir un archivo cifrado al sitio como muestra, y esperar a que el servicio encuentre una coincidencia en sus registros, el cual menciona que ocurre en 24 horas. Si encuentra una coincidencia, el sitio ofrece la posibilidad de realizar el pago desde el sitio web; si la fecha l\u00edmite ya expir\u00f3, el costo se incrementa a 10 Bitcoin (un precio estimado de US$ 10000).<\/p>\n

Mitigaci\u00f3n<\/strong><\/p>\n

A pesar que los programas antivirus est\u00e1n dise\u00f1ados para detectar tales amenazas, estos quiz\u00e1 no podr\u00edan detectar al CryptoLocker, o tal vez lo hagan cuando est\u00e1 cifrando archivos, o incluso cuando ya lo finaliz\u00f3. Esto normalmente sucede cuando se distribuye una versi\u00f3n nueva del malware (un ataque de d\u00eda cero). Como el proceso de cifrado tarda un tiempo, si el malware es eliminado tempranamente, limitar\u00eda su da\u00f1o.<\/p>\n

Algunos expertos sugieren tomar ciertas medidas preventivas, como usar aplicaciones que no permitan la ejecuci\u00f3n del c\u00f3digo de CryptoLocker.<\/p>\n

Debido al modo de operaci\u00f3n de CryptoLocker, algunos expertos sugieren que solamente pagando se pueden recuperar los archivos que no tengan una copia de seguridad (espec\u00edficamente, aquellas copias inaccesibles desde una red).<\/p>\n

El CryptoLocker tambi\u00e9n intenta borrar las copias de seguridad de Windows antes de cifrar los archivos. Debido a la longitud de la clave usada por el malware, se la considera casi imposible de obtenerla usando un ataque de fuerza bruta sin realizar el pago; un m\u00e9todo similar utilizado por el gusano Gpcode.AK, el cual usaba una clave de 1024-bits, cre\u00edda en aquel entonces computacionalmente imposible de romper sin usar computaci\u00f3n distribuida, o bien descubriendo una forma de romper el cifrado.<\/p>\n

A finales de octubre de 2013, la empresa en seguridad inform\u00e1tica Kaspersky Lab anunci\u00f3 la creaci\u00f3n de un DNS sinkhole, que permite bloquear los dominios usados por CryptoLocker.<\/p>\n","protected":false},"excerpt":{"rendered":"

CryptoLocker CryptoLocker es un malware tipo troyano dirigido a computadoras con el sistema operativo Windows que se populariz\u00f3 a finales de 2013. El CryptoLocker se distribuye de varias formas, una de ellas como archivo adjunto de un correo electr\u00f3nico. Una vez activado, el malware cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red usando criptograf\u00eda de clave p\u00fablica RSA, guard\u00e1ndose la clave privada en los servidores del malware. Realizado el cifrado, muestra un mensaje en pantalla, en el cual ofrece descifrar los archivos afectados, si se realiza un pago antes de una fecha l\u00edmite (a trav\u00e9s de Bitcoins o con vales pre-pagos), y menciona que la clave privada ser\u00e1 destruida del servidor, y que ser\u00e1 imposible recuperarla si la fecha l\u00edmite expira. Si esto ocurre, el malware ofrece la posibilidad de descifrar los datos a trav\u00e9s de un servicio en l\u00ednea suministrado por los operadores del malware, con un precio en Bitcoin mucho m\u00e1s alto. A pesar que el malware es f\u00e1cilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible de descifrar.<\/p>\n","protected":false},"author":1,"featured_media":5050,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[50],"tags":[668],"class_list":["post-6301","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguridad","tag-seguridad"],"_links":{"self":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/6301","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/comments?post=6301"}],"version-history":[{"count":6,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/6301\/revisions"}],"predecessor-version":[{"id":6308,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/posts\/6301\/revisions\/6308"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media\/5050"}],"wp:attachment":[{"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/media?parent=6301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/categories?post=6301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.palentino.es\/blog\/wp-json\/wp\/v2\/tags?post=6301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}