El ransomware es un tipo de troyano que se asoma al mundo del malware. Esta semana Hispasec ha visto un espécimen que les ha llamado la atención porque utiliza criptografía asimétrica para cifrar los archivos del usuario y pedir así un rescate por ellos. La mala noticia es que, al contrario que otros ransomware, este está relativamente bien hecho y los archivos pueden quedar inservibles. La buena noticia es que el atacante ha cometido un par de errores y el impacto se puede mitigar.
Su funcionalidad básica es cifrar documentos y archivos del usuario y pedir un rescate por ellos. Normalmente los atacantes utilizan una cuenta de PayPal o cualquier servicio de giro postal que facilite el anonimato. La mayoría ni se molestan en descifrar los archivos. Juegan con la desesperación de las víctimas, que pueden ver como todas las fotografías, documentos, presentaciones y videos de su disco duro quedan inservibles.
Uno de los más conocidos fue PGPcoder, que salió a la luz en 2004. Este troyano cifraba los archivos de los sistemas y solicitaba dinero a los usuarios afectados si querían volver a restaurarlos. La realidad es que utilizaba un algoritmo de cifrado muy simple basado en valores fijos, que permitía invertirlo y recuperar automáticamente los archivos. Cada determinado tiempo el creador ha ido publicando una nueva versión y si bien comenzó a utilizar criptografía fuerte, no era asimétrica. Kaspersky consiguió crackear la contraseña usada y ofrecía soluciones a las víctimas para descifrar los archivos sin necesidad de pagar el rescate.
Ahora este troyano utiliza una combinación de RSA y AES para cifrar. Al mismo tiempo utiliza la clave pública del atacante para cifrar la privada con la que han sido cifrados los archivos de la víctima. Además también evitan borrar los archivos originales, ahora los sobrescribe. En versiones anteriores, era posible recuperar los datos cifrados con cualquier programa para recuperar archivos eliminados del sistema.
Pero aún así, el atacante comete uno que otro error que será analizado en la siguiente entrega.
Hispasec nos invita a darle un vistazo al video alojado en YouTube (2:27 minutos) http://www.youtube.com/watch?v=xUn_rn38heU
Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4418
No hay comentarios:
Publicar un comentario