Hace unas semanas se dio a conocer una nueva variante del ransomware Curve-Tor-bitcoin (CTB-Locker), conocido también como Critroni y se está distribuyendo a través de spam. Éste ransomware “cifra” toda la información del disco duro y muestra una leyenda para efectuar un pago y liberar los datos.

Según ESET  Polonia, República Checa y México son los países más afectados. Estados Unidos representa sólo el cinco por ciento del total de las infecciones.

Este ransomware ofrece más tiempo a las víctimas para pagar el rescate pero ahora el dinero a pagar es mucho mayor al de versiones anteriores, según un estudio por Trend Micro.

ESET publicó el miércoles que CTB-Locker se distribuye a través del spam, pero las víctimas están obligados a pagar un rescate de 8 bitcoins (más de $ 1,800 dólares) dentro de 96 horas, antes de que los archivos sean cifrados de manera permanente. En Julio del 2014 se observaron diversas versiones de CTB-Locker el cual daba hasta 72 horas para el pago y el costo era menor a 1 bitcoin.

La campaña de propagación de este ataque comienza con un falso correo electrónico que llega a la bandeja de entrada de los usuarios. El asunto del correo simula ser un fax enviado con un adjunto, detectado por las soluciones de ESET como Win32/TrojanDownloader.Elenoocka.A. En los sistemas de usuarios desprevenidos que ejecuten esta amenaza, tendrán como resultado que todos sus archivos serán cifrados debido a que esta primera amenaza descarga una variante de Win32/FileCoder.DA.

Las variantes de Win32/TrojanDownloader.Elenoocka.A se conectan a una URL remota, con el fin de descargar el malware detectado por ESET como Win32/FileCoder.DA y conocido como CTB-Locker. Esta familia de ransomware cifra todos los archivos del sistema de manera similar a la que lo hace CryptoLocker. Su principal diferencia se basa en que esta familia de malware utiliza otro algoritmo de cifrado, que da origen a su nombre.

El resultado es similar a CrytoLocker o TorrentLocker, los archivos con extensiones como MP4, .PEM, .JPG, .DOC, .CER, .DB entre otros son cifrados por una clave, que hace prácticamente imposible recuperar los archivos. Una vez que el malware terminó de cifrar la información del usuario mostrará por pantalla un cartel de alerta y además cambiará el fondo del escritorio con un mensaje similar al que ven en la siguiente imagen:

001

Con el fin de asegurarle al usuario que podrá recuperar sus archivos si realiza el pago, los cibercriminales ofrecen una demostración de cómo recuperar algunos archivos a modo de ejemplo, esto lo pueden ver aquí:

002

El impacto que esto puede tener para una empresa o un usuario que no cuenta con una solución de backup, es capaz de convertirse en un verdadero dolor de cabeza. Luego de que el usuario probó que puede desencriptar los archivos, los cibercriminales le muestran cómo debe hacer para recuperar su información, en dónde puede conseguir los Bitcoins y la dirección a la cual hacer la transacción:

003

Otro detalle peculiar de CTB-Locker es que el mensaje que le muestra al usuario está en diferentes idiomas, si el usuario decide verlo en inglés el precio será en dólares, en caso contrario la moneda será en euros.

Es una realidad que la técnica de encriptación que utiliza CTB-Locker no hace posible la recuperación de los archivos a través del análisis del payload. Sin embargo existen ciertas medidas de seguridad que se recomiendan para usuarios y empresas:

  • Si cuentan con una solución de seguridad para servidores de correos habilitar las funcionalidades de filtrado de extensionesposiblemente maliciosas. Esto ayudará a bloquear archivos con extensiones .SCR como el caso deWin32/TrojanDownloader.Elenoocka.A que reportamos en este post
  • Evitar abrir adjuntosde dudosa procedencia en correos que no se ha identificado el remitente
  • Eliminar los correos o marcarlos como spampara evitar que otros usuarios o empleados de la empresa se vean afectados por estas amenazas
  • Mantener actualizadas las soluciones de seguridad para detectar las últimas amenazas que se están propagando

Contrarrestar este tipo de ataques puede no ser una tareas sencilla, y es necesario tomar una postura proactiva, apoyar a la tecnología con educación y por sobre todo estar atentos a los correos que se reciben

Vía: We Live Security