CryptoLocker es un malware tipo troyano dirigido a computadoras con el sistema operativo Windows que se popularizó a finales de 2013. El CryptoLocker se distribuye de varias formas, una de ellas como archivo adjunto de un correo electrónico. Una vez activado, el malware cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red usando criptografía de clave pública RSA, guardándose la clave privada en los servidores del malware. Realizado el cifrado, muestra un mensaje en pantalla, en el cual ofrece descifrar los archivos afectados, si se realiza un pago antes de una fecha límite (a través de Bitcoins o con vales pre-pagos), y menciona que la clave privada será destruida del servidor, y que será imposible recuperarla si la fecha límite expira. Si esto ocurre, el malware ofrece la posibilidad de descifrar los datos a través de un servicio en línea provisto por los operadores del malware, con un precio en Bitcoin mucho más alto. A pesar que el malware es fácilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible de descifrar.
El creador de CryptoLocker no es otro que el ruso de 31 años Evgeniy Bogachev, por el cual el FBI ofrece una recompensa de 3 millones de dólares sobre cualquier pista sobre su paradero.
Modo de operación
El virus CryptoLocker se propaga principalmente como un archivo adjunto desde un correo electrónico aparentemente inofensivo, simulando ser un correo de una compañía legítima; o bien se descarga en una computadora infectada con un virus troyano anterior, conectada a un botnet. Un archivo ZIP adjuntado al correo contiene un archivo ejecutable, con un ícono y tipo de archivo que lo hacen parecer un archivo PDF, aprovechando el uso por defecto de Windows de ocultar la extensión de los archivos, que permite ocultar la extensión.EXE verdadera. En algunos casos, este archivo puede contener al troyano Zeus, que a su vez instala el CryptoLocker. https://www.youtube.com/watch?v=o2l-zFakKfk
Cuando se ejecuta por primera vez, una parte suya se instala en la carpeta Documentos, con un nombre aleatorio, y luego, agrega una clave en el registro que hace que se ejecute al encenderse la computadora. Luego, intenta conectarse con uno de los servidores de control designados; una vez conectada, genera un par de claves RSA de 2048-bits, y envía la clave pública a la computadora infectada. Debido a que el servidor designado puede ser un proxy local, que luego puede ser derivado a otros (a menudo en otros países), es difícil rastrearlo.
Finalizada su instalación, el malware comienza el proceso de cifrado de los archivos en discos locales, y en unidades de redes usando la clave pública, y registra cada archivo cifrado en el registro de Windows. Solamente cifra archivos con ciertas extensiones, las cuales incluyen archivos de Microsoft Office, OpenDocument, archivos de AutoCAD, imágenes y otros documentos. Finalizada el cifrado de archivos, el malware muestra un mensaje en pantalla informando que se han cifrado archivos, y exige el pago de 300 dólares americanos o euros a través de un vale pre-pago anónimo (por ejemplo, los de MoneyPak o Ukash) o de 0.5 Bitcoin, para descifrar los archivos. El pago debe ser realizado dentro de 72 o 100 horas, caso contrario, la clave privada en el servidor será destruida, y «nadie y nunca serán capaces de recuperar archivos». Si el pago es realizado, el usuario puede descargar el programa de descifrado, que viene pre-cargada la clave privada del usuario. Symantec estimó que el 3% de sus usuarios infectados con CryptoLocker decidieron pagar.6 Algunos usuarios infectados que han pagado reclamaron que sus archivos no fueron descifrados.
En noviembre de 2013, los operadores de CryptoLocker lanzaron un servicio en línea que dice que permite a los usuarios descifrar sus archivos sin usar el programa ofrecido por CryptoLocker, y que también permite comprar la clave privada de descifrado después de haber expirado la fecha límite. El proceso consiste en subir un archivo cifrado al sitio como muestra, y esperar a que el servicio encuentre una coincidencia en sus registros, el cual menciona que ocurre en 24 horas. Si encuentra una coincidencia, el sitio ofrece la posibilidad de realizar el pago desde el sitio web; si la fecha límite ya expiró, el costo se incrementa a 10 Bitcoin (un precio estimado de US$ 10000).
Mitigación
A pesar que los programas antivirus están diseñados para detectar tales amenazas, estos quizá no podrían detectar al CryptoLocker, o tal vez lo hagan cuando está cifrando archivos, o incluso cuando ya lo finalizó. Esto normalmente sucede cuando se distribuye una versión nueva del malware (un ataque de día cero). Como el proceso de cifrado tarda un tiempo, si el malware es eliminado tempranamente, limitaría su daño. Algunos expertos sugieren tomar ciertas medidas preventivas, como usar aplicaciones que no permitan la ejecución del código de CryptoLocker.
Aunque hay ya «miles» de afectados que han pagado, según los expertos en seguridad informática y electrónica, no se debe incurrir en ese «error» porque el «cracker» nunca va a mandar la clave para poder recuperar el ordenador porque sería descubierto. El CryptoLocker también intenta borrar las copias de seguridad de Windows antes de cifrar los archivos. Debido a la longitud de la clave usada por el malware, se la considera casi imposible de obtenerla usando un ataque de fuerza bruta sin realizar el pago; un método similar utilizado por el gusano Gpcode.AK, el cual usaba una clave de 1024-bits, creída en aquel entonces computacionalmente imposible de romper sin usar computación distribuida, o bien descubriendo una forma de romper el cifrado.
A finales de octubre de 2013, la empresa en seguridad informática Kaspersky Lab anunció la creación de un DNS sinkhole, que permite bloquear los dominios usados por CryptoLocker.
Cryptolocker uno de los virus más peligrosos de los últimos años. Al infectar el PC, secuestra documentos y pide dinero a cambio de recuperarlos. Si no se hace…
Cryptolocker es un virus secuestrador que infecta Windows XP, Vista, 7 y 8. Se disfraza a sí mismo como un archivo adjunto de tipo ZIP o PDF, aunque también se transmite por control remoto si un PC ha sido infectado previamente por un troyano de tipo “botnet”, que deja abierta la puerta para control remoto e infecciones externas.
Cryptolocker secuestra documentos con una clave secreta
Cuando se ejecuta, Cryptolocker se instala en la carpeta de programas y empieza a cifrar (encriptar) documentos de Office y LibreOffice, archivos PDF, fotos e ilustraciones, que se vuelven inaccesibles. Los archivos se cifran con una clave que solo poseen los autores de Cryptolocker, lo que imposibilita la recuperación.
Los archivos infectados por Cryptolocker se vuelven ilegibles debido al cifrado
Al mismo tiempo, CryptoLocker lanza su terrible amenaza: si el propietario no paga una suma de dinero en el plazo de tres o cuatro días, la clave con la que se bloquearon los archivos será borrada para siempre, y los archivos ya no se podrán rescatar. Es como encerrar a alguien en una celda indestructible y tirar la llave.
Los archivos no se pueden rescatar sin pagar
Si el pobre usuario accede a pagar la suma de dinero, que puede alcanzar los trescientos dólares, Cryptolocker descifra los archivos, aunque no siempre obedece. El pago se puede efectuar a través de MoneyPak, Ukash y -novedad- a través de Bitcoin, una moneda virtual cuyas transacciones se efectúan sin controles.
Las formas de pago que acepta el virus Cryptolocker dificultan la identificación de los autores
Todo intento de pago erróneo disminuye el tiempo disponible para salvar los archivos. Para “ayudar” a los afectados, los autores del virus incluso han puesto una dirección de “soporte técnico” en el fondo de pantalla que Cryptolocker activa en el PC infectado. Esa dirección contiene la versión web de la herramienta de descifrado.
La página de «soporte» de Cryptolocker
El sistema ideado por los criminales es perfecto: si el usuario no paga, los archivos no se pueden recuperar. El cifrado utilizado es demasiado fuerte, e incluso un ataque criptográfico sofisticado tardaría un tiempo larguísimo para descifrar uno cualquiera de los archivos atrapados.
Por eso, si alguien no tiene una copia de seguridad, acaba por pagar a los malhechores.
Qué hacer en caso de infección de Cryptolocker
Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos ni tampoco comunicar con los criminales. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.
Una forma rápida de desactivar la conexión es ir al panel de Red y desactivar los dispositivos
Acto seguido, has de preguntarte qué quieres hacer, si pagar la suma del rescate o eliminar el virus e intentar recuperar los archivos. En caso de que optes por el pago, estás a la merced de los criminales, y la recuperación no está garantizada. Si bien hay muchos informes que comentan que el descifrado empieza a las pocas horas de efectuar el pago, otros comentan que el proceso de recuperación rebosa de fallos. Yo te recomiendo no pagar.
La herramienta de descifrado de Cryptolocker solo funciona si has pagado el rescate…
Sea cual sea tu elección, lo mejor que puedes hacer es obtener una lista de los archivos infectados y cifrados. Para ello, puedes ejecutar la herramienta ListCrilock, que crea un archivo TXT con todos los archivos cifrados por el virus. Otro programa que hace lo mismo es CryptoLocker Scan Tool, que busca archivos tocados por el virus y te dice si necesitan ser recuperados.
CryptoFinder busca archivos infectados y te dice si se pueden recuperar o no
La opción manual consiste en abrir el Editor del Registro de Windows (Inicio > Ejecutar > Regedit) e ir hasta la clave HKEY_CURRENT_USER\Software. Allí verás una carpeta con número y una subcarpeta que contiene los nombres de los archivos: es la de Cryptolocker. Algunos de esos archivos puede que no estén cifrados todavía, y en consecuencia se podrán recuperar. Para los demás, solo puedes buscar en tus copias de seguridad.
Cómo eliminar el virus Cryptolocker del PC
Eliminar Cryptolocker es bastante sencillo, en parte porque los autores del virus cuentan con que la víctima está tan aterrorizada que no quiere eliminar la única forma que tiene de recuperar sus archivos. Por suerte, hay varias formas de recuperar tus archivos, pero antes debes quitar el virus del sistema.
En mi caso, para eliminar Cryptolocker usé la herramienta Norton Power Eraser, un potente anti-troyanos que Symantec distribuye gratis en su página. Copié NPE al equipo a través de una memoria, lo ejecuté y, al finalizar el escaneo, confirmé el borrado de los objetos sospechosos.
Un reinicio y todo rastro de Cryptolocker había desaparecido (solo había quedado el fondo de pantalla del virus, que de por sí es totalmente inocuo y se puede cambiar sin obstáculos).
Otras herramientas que funcionan son Malwarebytes, RogueKiller y ComboFix. Los antivirus tradicionales tienen problemas para identificar Cryptolocker como una infección, sobre todo por la velocidad con la que aparecen nuevas variantes, pero ya se están poniendo al día.
Cómo recuperar los archivos infectados por Cryptolocker
Cryptolocker solo ataca documentos que se encuentran en el PC y en las unidades de red. No ataca archivos que se encuentran en unidades desconectadas o en servidores que están en Internet. Tampoco ataca documentos que se encuentran comprimidos. Su objetivo son los archivos que se encuentran en PC empresariales.
Extensiones que ataca Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.
Una vez que has desinfectado el PC, lo mejor que puedes hacer es recurrir a uno de los «secretos» más interesantes de Windows, las copias sombra (Shadow Copy), versiones previas que Windows almacena cada vez que un archivo se modifica. Para acceder a esta característica basta con hacer clic derecho sobre un archivo y abrir las propiedades.
En la pestaña Versiones previas verás las diferentes versiones que Windows ha almacenado. Elige la copia de seguridad más reciente que sea anterior a la infección y haz clic para restaurarla. Una forma más rápida y cómoda de acceder a todas las copias Shadow que hay en el disco duro es a través de la herramienta gratuita ShadowExplorer.
Shadow Explorer es muy fácil de usar. Basta con elegir la unidad, la fecha de las copias -que está en el menú desplegable que hay al lado de las unidades- y luego navegar por las carpetas y archivos disponibles. Las copias se extraen con un clic derecho sobre el archivo y otro clic sobre “Exportar”.
Otra opción para recuperar los archivos es usar una copia de seguridad previa que tuvieses almacenada en un disco duro desconectado, un servidor remoto o en discos DVD. Los archivos almacenados en Dropbox, SkyDrive o Drive también son buenos candidatos para la recuperación.
Cuando recuperes una copia desde Dropbox o Google Drive debes asegurarte que no sea una de las copias infectadas. Ambas aplicaciones cuentan con un historial de versiones para cada documento. En Drive, por ejemplo, está en Archivo > Ver historial de revisiones. Desde allí puedes recuperar el archivo deseado.
Cómo prevenir infecciones por Cryptolocker
Los autores de Cryptolocker diseñaron su virus con dos prejuicios en mente: que todos abrimos los archivos adjuntos y que nadie guarda copias de seguridad recientes de sus documentos. Tuya es la tarea de desmontar este mito. Para ello, tienes que reforzar tus políticas de seguridad (o tu empresa por ti).
Para empezar, desconfía de los correos sospechosos. Si no son correos que esperas, no debes abrir los archivos adjuntos por ninguna razón. Lo mismo aplica si estás usando correo web: si no has solicitado nada, no hagas clic. Esta regla evitará la mayoría de infecciones oportunistas, el medio principal de propagación del virus.
Un virus detectado por Gmail, que impide bajarlo (imagen de AskDaveTaylor)
Los más preocupados pueden usar la herramienta CryptoPrevent para deshabilitar el tipo de permisos que el virus aprovecha para instalarse. La herramienta modifica las políticas de seguridad de Windows para evitar que un programa pueda ejecutarse desde la carpeta de Datos de programa (AppData).
Al ejecutar CryptoPrevent, marca las primera, segunda y cuarta casillas para que los programas ya existentes en las carpetas puedan seguir ejecutándose. El botón “Undo” permite deshacer la maniobra, útil si has de añadir algún programa nuevo o si este parche te crea más incomodidad que seguridad.
Finalmente, si no lo has hecho ya, conviene que crees tu propio plan de copias de seguridad. Según datos de la firma BackBlaze, más de un 30% de los usuarios trabaja sin copias de seguridad de sus documentos, y solo un 10% hace copias diarias. Debes configurar un sistema de copias al menos para tus documentos más vitales.
Las copias Shadow de Windows se activan desde el menú de Propiedades de Sistema, al que puedes acceder con un clic derecho sobre el icono de Mi Pc, o también desde el Panel de control, dentro de la sección Sistema. El apartado Protección del sistema es el que permite habilitar las “copias sombra” y definir cuánto espacio destinar a ellas.
Cryptolocker es más peligroso que el Virus de la Policía
Todos recordamos al temible Reveton, el virus de la policía que sembró el pánico en millones de hogares y oficinas. El virus mostraba un mensaje que parecía haber sido redactado por la policía e instaba a las víctimas a pagar una suma a cambio de no ser perseguidos por crímenes horribles. Pero el virus no tocaba los archivos.
Cryptolocker es más dañino. A finales de 2013 se calculó que ya había infectado un cuarto de millón de PC. Puesto que las transacciones con Bitcoin se pueden analizar, algunos expertos descubrieron que los cibercriminales están ganando decenas de millones de dólares gracias a este virus.
La forma en que Cryptolocker infecta los PC es convencional, y se puede rechazar si tomas las precauciones que he indicado más arriba. La lección más importante, con todo, es que necesitas tener al día tus copias de seguridad. Tus datos son un pequeño tesoro, y los criminales ahora apuntan a hacerles daño a cambio de tu dinero.
ACTUALIZACIÓN [09/12/14]: los archivos infectados se pueden descifrar con esta página web
Descubre más desde Serboweb Informática Ingeniería: Soluciones de Desarrollo Web, SEO y Software a Medida
Suscríbete y recibe las últimas entradas en tu correo electrónico.