Troyanos que encriptan los archivos de usuario y tratar de extorsionar a un rescate de la víctima a cambio de una utilidad de descifrado son nada nuevo: de hecho, han existido desde hace varios años. 

http://www.welivesecurity.com/2013/09/23/filecoder-holding-your-data-to-ransom/

Traducción Google:

Estos «Filecoders», como los llamamos, son una categoría predominante de ransomware, otro tipo común de ransomware es LOCKSCREEN scareware – ransomware que bloquea el escritorio, muestra un mensaje diseñado para parecerse a medida que sale del local de aplicación de la ley y, de nuevo exige un pago con el fin de recuperar el acceso a su computadora.

La razón por la que estamos trayendo esta cuestión de edad es que hemos observado un aumento significativo de la actividad Filecoder en los últimos meses de verano y en esta entrada del blog que esperamos para hacer frente a las muchas preguntas que estamos recibiendo sobre este tema.

ESET detecciones de esta categoría de malware por lo general se marcan como Win32 / Filecoder , Win32 / Gpcode o en algunos casos otros nombres familiares.

Estadística

ESET LiveGrid® telemetría nos muestra que el número semanal de detecciones Win32 / Filecoder han aumentado en más del 200% desde julio de 2013, desde el número promedio de enero a junio de 2013.

El país más afectado por estas familias de malware es Rusia, pero las campañas de difusión son partes en torno a diferentes activos del mundo:

Los vectores de infección

Como es el caso con otras familias de Troya, los delincuentes utilizando el ransomware Filecoder tener un número de diferentes métodos de conseguir el software malicioso en el sistema de las víctimas:

• A través de descargas no autorizadas de sitios web con malware

• A través de adjuntos de correo electrónico

• Instalación por otro troyano-descargador o puerta trasera (ver 1ª escenario de ejemplo a continuación)

• La instalación manual por el atacante a través de la infiltración RDP (véase el segundo escenario de ejemplo a continuación)

• Otros vectores de infección común

En un escenario de infección, hemos visto Win32 / Filecoder.Q (y más tarde también Win32 / Filecoder.AA yWin32 / Filecoder.W ) difundir a través de puertas traseras, como la hiedra venenosa- RAT . En este escenario, las víctimas fueron enviados por la puerta trasera Poison Ivy-a través de correo electrónico y si fueron engañados para ejecutar el software malicioso se pondría en contacto con un servidor C & C y esperar órdenes. El atacante podría entonces enviar el troyano Filecoder a la máquina infectada, que no se guarda como un archivo en el disco duro, pero sólo en la memoria de gestión.

También hemos visto diferentes casos, cuando el atacante logró instalar Filecoder ransomware en el sistema de forma manual a través de credenciales comprometidas Remote Desktop Protocol (RDP) . No tenemos suficiente información en cuanto a cómo la «ruptura» de ocurrido – RDP puertos expuestos, una infección existente con un keylogger, o fuerza bruta una contraseña débil son sólo algunas posibles explicaciones. Lo que es importante, sin embargo, es que, en tal caso, el atacante puede obtener acceso completo a la máquina objetivo como si él estaba sentado detrás del escritorio, la desactivación de cualquier protección antivirus y hacer lo que quieran, incluyendo la instalación de software malicioso.

En algunos de estos casos, también es necesaria la instalación manual debido al hecho de que algunas variantes requieren un poco de «interacción del usuario», por ejemplo, el establecimiento de la contraseña de cifrado.

Las técnicas de cifrado

Como se mencionó en la introducción, este tipo de ransomware es más «peligroso» que la categoría generalizada ‘police’-ransomware, ya que también cifra los archivos de la víctima – por lo general imágenes, documentos, música y archivos. Una amplia gama de técnicas y niveles de sofisticación se ha visto en diferentes variantes en el tiempo:

• El cifrado se puede implementar en el código troyano, o mediante el uso de herramientas (legítimas) 3ª parte (por ejemplo LockDir archivos protegidos por contraseña, WinRAR, etc.)

• Algunas variantes cifrar el archivo completo, otros sólo partes de él (por ejemplo, cuando se utiliza más lenta RSA)

• Varios métodos han sido utilizados para disponer del archivo original: en algunos casos, el archivo limpio se elimina y se pudo recuperar mediante el uso de herramientas de recuperación «Restaurar», otras veces el archivo se eliminan de forma segura (por ejemplo, mediante el uso de Microsoft SysInternalsSDelete ) o simplemente sobrescrito

Se utilizan diferentes métodos de cifrado:

• Blowfish

• AES

• RSA

• TÉ

• otros metodos

… Y también las claves de cifrado pueden ser:

• Codificado en binario

• Introducida manualmente (por línea de comandos oa través de un cuadro de diálogo, cuando el atacante tiene acceso RDP a la máquina infectada)

• Aleatoriamente generado (utilizando diversas funciones aleatorios) y se envía al atacante

Algunos ejemplos activos

Una familia Filecoder que se ha ido extendiendo a través de RDP y ha mejorado notablemente sus tácticas con el tiempo también utiliza trucos scareware y se presenta como un mensaje de «Porn Anti-Niño Protección Spam» o como pertenecientes a la «ACCDFISA» ( «Departamento de Delitos contra el Ciber Agencia Federal de Seguridad de Internet «) – no existe tal agencia, por supuesto. Un amplio reportaje de diferentes versiones se puede encontrar en el blog de Emsisoft . Aunque esta variante particular, detectado por ESET como Win32 / Filecoder.NAC , ha existido desde hace bastante tiempo, todavía es activo en la naturaleza.

Este troyano también destaca por la cantidad de dinero que pide. Mientras que otros ejemplos de esta categoría de malware por lo general solicitan sumas de alrededor de 100 – 200 €, Win32 / Filecoder.NAC se ha visto extorsionar hasta 3000 €. La alta cantidad es consistente con el hecho de que el atacante lo general se dirige a las empresas que por lo general pueden permitirse el lujo de pagar rescates más altos que los individuos.

Win32 / Filecoder.BH , también conocido como DirtyDecrypt, cuenta con un método interesante de ver el aviso de rescate para el usuario. Durante el ciclo de cifrado del contenido de los archivos de imagen, así como los documentos, se sobrescribe con el aviso seguido por los bytes originales cifrados.

Otra variante reciente, Win32 / Filecoder.BQ, trata de poner las víctimas a presión mediante la visualización de un temporizador de cuenta atrás mostrando cuánto tiempo pasará antes de que se elimina permanentemente la clave de cifrado. Curiosamente, las víctimas se les da la opción de pagar el rescate con bitcoins, junto con los métodos de pago habituales, como ransomware MoneyPak o Ukash. Más detalles acerca de esta variante se pueden encontrar en la Enciclopedia de amenazas de ESET entrada: Win32 / Filecoder.BQ .

Algunas variantes Filecoder incluso se construyen mediante el uso de un especial de constructor deutilidad, de manera similar a la banca constructores de Troya que se venden en foros clandestinos. El constructor permite al atacante para seleccionar qué tipos de archivos a cifrar, el método de encriptación deseada, aparece mensaje de rescate, y así sucesivamente.

Unas pocas palabras de consejo

En algunos casos, cuando el Filecoder utiliza un cifrado débil, o una aplicación defectuosa, o almacena la contraseña de cifrado en algún lugar para ser recuperado, puede ser posible para descifrar los archivos. Desafortunadamente, en la mayoría de los casos, los atacantes han aprendido a evitar estos errores y recuperar los archivos cifrados sin la clave de cifrado es casi imposible.

Si se requiere el acceso remoto a un ordenador, las medidas de seguridad adecuadas deben ser tomadas, RDP no debe estar abierto a la Internet pública y una red privada virtual con autenticación de dos factores deben ser utilizados.

También es una buena idea para proteger con contraseña la configuración de su software anti-malware para evitar su alteración por un atacante.

El consejo de seguridad informática en general acerca de ser cautos y mantener su antivirus y todo el software hasta a la fecha se aplica, por supuesto, pero en este caso, lo más importante: la copia de seguridadregularmente!

The following two tabs change content below.

• Bio
• Latest Posts

Jose Miguel

Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC). **Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET. **En el campo de la pericial informática: * Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos. * Autentificación y Verificación de correos electrónicos. * Suplantación de identidad y verificación de mensajes en redes sociales. * Recuperación de datos de dispositivos de almacenamiento físicos. * Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral. * Fraudes informáticos y phising. ............ Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.

Latest posts by Jose Miguel (see all)

• Curso básico de ciberseguridad: Módulo 6 - 8 marzo, 2025
• Curso básico de ciberseguridad: Módulo 5 - 1 marzo, 2025
• Curso básico de Ciberseguridad: Módulo 4 - 28 diciembre, 2024
• Curso Básico de Ciberseguridad. Módulo 3 - 21 diciembre, 2024
• Episodio 7: Qué es el ‘Scareware’ - 29 noviembre, 2024