CryptoWall, el virus que encripta nuestros ficheros de datos

No es una nueva amenaza, de hecho hace muchos años que existe este tipo de malware. CryptoWall, CryptoLocker, CryptoFortress, CryptoDefence, TeslaCrypt, … son diferentes variantes que han ido apareciendo a lo largo del tiempo.

Realmente se trata de troyanos que actúan como ramsomware (secuestradores de software) en sistemas operativos Windows.
Son extremadamente peligrosos y debemos conocer su modo de actuar para estar prevenidos de su posible infección.

Últimamente CryptoWall 3.0 está causando estragos a empresas y particulares, aquí explicaremos como se cuela en nuestros sistemas, qué daños son los que causa, cómo eliminarlo y cómo prevenirlo.

Métodos de infección
Normalmente se contagia a través del correo electrónico, recibimos un mail con un enlace o un fichero adjunto y al pinchar sobre ellos comienza la infección.

Abajo os muestro un ejemplo real ocurrido a uno de nuestros clientes, un mail de Correos (aparentemente) escrito en buen castellano, con un enlace para la entrega de una carta certificada.

cryptowall-correos-300x240

Otro ejemplo:

cryptowall-ups-300x206

En otras ocasiones puede ser un mail de una compañía aérea con la confirmación de sus billetes de avión u otros engaños del mismo corte, siempre bien hechos y bien redactados.

También se producen contagios a través de la descarga de archivos de sitios no confiables o la navegación por páginas no seguras o dudosas.

Proceso de infección y consecuencias .-
En el momento que clicamos sobre ese enlace o fichero empieza el vía crucis :

.- Primero, al pinchar sobre el enlace ofrecido o sobre el fichero descargado, el virus se introduce e instala en el ordenador y modifica el registro del sistema para ejecutarse cada vez que lo iniciemos.

.- A continuación el virus contacta con sus creadores, genera e intercambia unas claves de cifrado que son las que va a utilizar para secuestrar nuestros archivos.

.- Comienza la encriptación. Basándose en la clave de cifrado descargada, empieza a cifrar los archivos, borrando a continuación los originales. Es decir, nuestros archivos siguen estando en el ordenador, mantienen el mismo nombre, pero están encriptados y como no conocemos la clave de cifrado no podemos abrirlos, además el original ha sido borrado.

Según la versión del virus, puede llegar a encriptar todos los archivos del ordenador, los de extensión conocida doc, docx, xlsx, ppt, pptx, psd, jpg, pdf, … o algunos archivos específicos, es el caso del TeslaCrypt que secuestra archivos de partidas guardadas.

Cuidado, el virus no se para aquí, continúa hacia todos los ordenadores y dispositivos de la red, especialmente a aquellas unidades y carpetas mapeadas en el ordenador donde se inició el contagio.

El chantaje
Es la hora del chantaje, aparece una pantalla en donde se nos solicita una cantidad de dinero (unos 500$ en Bitcoins) para que nos envíen la clave de desencriptación. Incluye claras instrucciones en perfecto castellano para realizar el proceso de pago y descifrado de los ficheros secuestrados.

Abajo os muestro un ejemplo real ocurrido a uno de nuestros clientes, un mail de Correos (aparentemente) escrito en buen castellano, con un enlace para la entrega de una carta certificada.

cryptowall-chantaje-300x169

Nos dan un plazo para el pago y si no se realiza en ese tiempo van incrementando el precio del rescate.

Reproducción del texto del mensaje que aparece en algunas de las distribuciones de Cryptowall:

¿Qué pasó con sus archivos?

Todos sus archivos han sido protegidos usando un potente cifrado RSA-2048 con CryptoWall. Encontrará más información acerca de las claves de cifrado con RSA-2048 en el siguiente enlace: http://es.wikipedia.org/wiki/RSA

¿Qué quiere decir esto?

Quiere decir que la estructura y datos de sus ficheros han sido cambiados de forma irrevocable; no podrá trabajar con ellos, leer o verlos, es como si los hubiera perdido para siempre, pero con nuestra ayuda puede recuperarlos.

¿Cómo ha podido ocurrir esto?

Expresamente para usted, hemos generado en nuestro servidor un par de claves secretas RSA-2048 (pública y privada). Todos sus archivos han sido cifrados con la clave pública, que se ha enviado por internet a su ordenador. La única opción para descifrar sus archivos es con ayuda de la clave privada y el programa de descifrado, que se encuentran en nuestro servidor secreto.

¿Qué es lo que tengo que hacer?

Si no sigue las instrucciones necesarias a tiempo, cambiarán las condiciones para conseguir la clave privada. Si le importan sus datos verdaderamente, le aconsejamos que no pierda su tiempo valioso en buscar otras soluciones porque no existen.
Para leer instrucciones más detalladas, por favor visite su página web personal. Abajo hay varios enlaces que le llevarán hasta allí.

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

Si por cualquier motivo los enlaces no funcionan, siga los siguientes pasos:

1. Descargue e instale el navegador Tor: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Cuando finalice la instalación, abra el navegador y espere a que se cargue.
3. Escriba en la barra de direcciones: kpai7ycr7jxqkilp.onion/3koe
4. Siga las instrucciones de la página.

Hay que tener en cuenta que hoy por hoy no es posible la desencriptación de los archivos, están cifrados con el sistema criptográfico RSA 2048 y no se puede romper.

Se puede limpiar la infección, pero no se puede devolver los archivos a su estado original.

La recomendación de los expertos en seguridad es unánime, no hay que pagar a menos que sea estrictamente necesario (casi nunca). No tenemos la seguridad de que pagando nos envíen la clave de desencriptación ni de que ésta funcione. Por otro lado, el pago estará financiando a los criminales, que seguirán creando malware.

 

Comentarios cerrados.