CryptoLocker: Qué es y cómo evitarlo

Si te hablan de CryptoLocker es posible que no sepas a qué se están refiriendo. Lo que seguro que sí te suena es un email de Correos que contiene virus.

Pues bien, CryptoLocker es lo que te descargas si pinchas en el enlace de este correo electrónico. Ahora te decimos qué es y cómo se instala en el ordenador.

Qué es CryptoLocker

El CryptoLocker es una familia reciente de ransoms cuyo modelo de negocio (si, el malware es un negocio) se basa en la extorsión al usuario. Otro malware famoso que también se basa en la extorsión es el Virus de la Policía, con el que había que pagar para poder recuperar el equipo.

Pero a diferencia de este, el CryptoLocker se basa en el secuestro de los documentos del usuario y pedir un rescate por ellos (con tiempo límite para poder recuperarlos).

Cómo se instala CryptoLocker en el equipo

El CryptoLocker utiliza técnicas de ingeniería social, para conseguir que sea el propio usuario quien lo ejecute. Concretamente la victima recibe un correo, simulando provenir de una empresa de logística, que lleva adjunto un ZIP con contraseña.

Cuando el usuario abre el zip introduciendo la contraseña que le viene en el email, cree que dentro hay un fichero PDF y al abrir el falso PDF es cuando ejecuta el troyano. CryptoLocker se aprovecha de la política de Windows de ocultar las extensiones por defecto, de tal forma que el usuario es engañado “gracias” a esta característica de Windows.

En cuanto el usuario (la víctima) ejecuta el Troyano este se instala como residente en el equipo:

Realiza una copia de sí mismo en una ruta del perfil del usuario (AppData, LocalAppData)

Crea una entrada en los autoruns para asegurarse la ejecución al reinicio.

Ejecuta dos procesos de sí mismo fichero. Uno es el principal y otro para proteger el proceso original frente a cierres.

Cifrado de los ficheros en disco

El troyano genera una clave simétrica aleatoria por cada fichero que va a cifrar, y cifra el contenido del fichero con AES utilizando esta clave. Después cifra la clave aleatoria con un algoritmo asimétrico de clave pública-privada (RSA) con claves de que superan los 1024 bits de longitud (hemos visto muestras que utilizan claves de 2048 bits) y la añade al fichero cifrado. Este procedimiento garantiza que solo el poseedor de la clave privada del RSA, será capaz de obtener la clave aleatoria con la que se ha cifrado el fichero. Además, como se realiza una operación de sobrescritura se impide la recuperación del fichero mediante técnicas forenses.

Lo primero que hace el troyano una vez se ejecuta en el equipo de la víctima es obtener la clave pública (PK) de un servidor C&C. Para conseguir conectarse a su servidor, el troyano incorpora un algoritmo conocido como Mersenne twister para generar nombres de dominios aleatorios (DGA). Este algoritmo utiliza como semilla la fecha del día y puede generar hasta 1000 dominios diferentes cada día, de una longitud fija.

Una vez que el troyano ha conseguido descargarse la PK, la almacena en la siguiente ruta de registro HKCUSoftwareCryptoLockerPublic Key y comienza el cifrado de los ficheros en todos los discos duros del equipo y rutas de red en los que el usuario tenga permisos.

El CryptoLocker no cifra todos los ficheros que encuentra, sino que se especializa en cifrar los ficheros no ejecutables que cumplan con la lista de extensiones que incorpore la muestra

Además el CryptoLocker guarda la ruta de cada archivo cifrado en esta clave de registro:

HKEY_CURRENT_USERSoftwareCryptoLockerFiles

Cuando el troyano ha terminado de cifrar todos los ficheros que tiene a su alcance, muestra el siguiente mensaje en el que pide el rescate, dando un tiempo máximo para pagar antes de destruir la clave privada que guarda el autor.

Como curiosidad, el malware no solicita la misma cantidad de dinero a todo el mundo, sino que incorpora su propia tabla de conversión de divisas.

Cómo evitar CryptoLocker

El método de infección que utiliza es la transmisión por email mediante el uso de ingeniería social. Por lo que nuestros consejos consejos son:

Extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos.

Desactivar la política de Windows que oculta las extensiones conocidas también ayudará a reconocer un ataque de este tipo.

Tener un sistema de backup de nuestros ficheros críticos, lo que nos garantiza que no solo en caso de infección podamos mitigar el daño causado por el malware, sino que también nos cubrimos antes problemas del hardware.

Si no tenemos un backup y nos hemos infectado, no recomendamos el pago del rescate. Esta NUNCA debería ser la solución para recuperar nuestros ficheros, ya que convierte este malware en un modelo de negocio rentable, lo que impulsará el crecimiento y la expansión de este tipo de ataque.

Análisis del CryptoLocker realizado por: Javier Vicente y Sergio Lara

Fuente: PANDA SECURITY
http://www.pandasecurity.com/spain/mediacenter/malware/cryptolocker/

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

• Sistema de Huella Digital para Bibliotecas

• Sistema que controla la entrada y salida del personal la Empresa

• Sistema que controla el acceso de personas y permite la apertura de puertas

• Lectores ópticos de huella digital U.are.U 4500B

• Cerradura con huella digital Anviz L100

• Torniquete con lector de huella digital

• Antenas de seguridad antihurto tecnología electromagnética – EM – para bibliotecas

• Antenas antihurto especial para Tiendas y Almacenes

• Sistema de Reconocimiento Facial Facepass

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter.

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
http://inbiosys.wordpress.com/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 583 13 31
Celular: 312 782 60 21

INBIOSYS

Ingeniería y Sistemas Biométricos
Carrera 81 No. 43 - 72 Oficina 1109
Medellín Colombia

El famoso USB reversible podría ser un coladero de malware para tus dispositivos

¿Sería muy cómodo no tener que dar la vuelta varias veces al USB cada vez que quieres conectarlo al ordenador, verdad? Dentro de poco, podrás olvidarte de este problema. El nuevo conector USB Type-C, más conocido como USB reversible, logrará que dejes de preocuparte por eso ya que posee la misma cantidad de pines o conectores por ambos lados y, además, permitirá tanto la transferencia de datos a mayor velocidad como la de señales de vídeo o de energía eléctrica, con un tamaño similar al microUSB.

Se augura que este nuevo conector sea el estándar del futuro y, de ser así, quizá algún día podremos cargar todos nuestros dispositivos con él. Esta especificación, anunciada hace unos meses por el USB-IF (USB Implementers Forum), ya se está incluyendo en algunos portátiles. El nuevo MacBook de Apple incorpora un puerto USB-C que permite cargar el móvil y conectarlo a dispositivos convencionales, aunque para ello hay que comprar un adaptador independiente.

Google ha seguido esta decisión e incluirá dos nuevos puertos USB-C en su nuevo portátil ultrafino, el Chroomebook Pixel. La incorporación de estos puertos será la nueva moda de los equipos en los próximos meses.

Pero no todo son buenas noticias: el nuevo USB Type-C arrastra consigo graves problemas para la seguridad. Al fin y al cabo, está basado en el estándar USB, por lo que es vulnerable a ataques de ‘firmware’ y otro tipo de ataques que afectarían al dispositivo que se conecta.

Ninguna de estas vulnerabilidades es nueva (seguro que alguna vez tu memoria USB se ha contagiado de algún virus por conectarla a ordenadores ajenos), pero, si tenemos en cuenta que se pretende que el conector USB reversible sea universal, los ataques podrían ser cada vez más difíciles de evitar y el puerto podría convertirse en un coladero de malware.

Vulnerabilidad BadUSB

Una de las mayores preocupaciones es la reciente vulnerabilidad BadUSB, que se aloja en el ‘firmware’, modificándolo y permitiendo que, por ejemplo, el dispositivo móvil conectado se convierta en un vector de ataque.

“La amplitud adicional y la flexibilidad de los USB Type-C llega con más superficie de ataque“, ha explicado Karsten Nohl, uno de los investigadores que descubrieron este tipo de ataque. “No hay una solución para BadUSB a la vista, incluso con el nuevo estándar”. USB es un estándar abierto construido sobre la compatibilidad y el fácil acceso de terceros, lo que acarrea un grave problema para la seguridad sin visos de solucionarse próximamente.

A efectos prácticos, esto significa que los usuarios de MacBook y Chromebook Pixel están expuestos a lo que se denomina como un ataque de cargador prestado (‘borrowed charger attack‘). Aunque los nuevos cargadores no tienen el ‘firmware’ necesario para transportar el malware BadUSB, sería fácil para un atacante infectar un dispositivo y el agujero se extendería progresivamente a todos los dispositivos compatibles. Al fin y al cabo, ¿quién no comparte casi a diario un cable USB con otra persona?

Pese a que Apple incluye en todos los cables de alimentación un chip de autenticación para comprobar que el ‘firmware’ no ha sido modificado, el puerto sigue siendo vulnerable a los dispositivos más antiguos.

Si ya te has decidido a comprar el último MacBook o el nuevo Chromebook, la mejor protección que evites conectar un dispositivo o cargador que no hayas comprado tú. Pese a todas las ventajas que traen estos puertos adaptados al USB reversible por su rapidez y eficiencia, aún queda mejorar la seguridad para disfrutar de todas las ventajas del USB-C en los portátiles.

Fuente: PANDA SECURITY
http://www.pandasecurity.com/spain/mediacenter/malware/el-famoso-usb-reversible-podria-ser-un-coladero-de-malware-para-tus-dispositivos/

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

• Sistema de Huella Digital para Bibliotecas

• Sistema que controla la entrada y salida del personal la Empresa

• Sistema que controla el acceso de personas y permite la apertura de puertas

• Lectores ópticos de huella digital U.are.U 4500B

• Cerradura con huella digital Anviz L100

• Torniquete con lector de huella digital

• Antenas de seguridad antihurto tecnología electromagnética – EM – para bibliotecas

• Antenas antihurto especial para Tiendas y Almacenes

• Sistema de Reconocimiento Facial Facepass

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter.

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
http://inbiosys.wordpress.com/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 583 13 31
Celular: 312 782 60 21

INBIOSYS

Ingeniería y Sistemas Biométricos
Carrera 81 No. 43 - 72 Oficina 1109
Medellín Colombia