CriptoBit, nuevo ransomware que amenaza a los ordenadores

Puntuación0
Puntuación0

Compartir

CriptoBit es un nuevo Ransomware el cual ha sido detectado por el laboratorio de seguridad Panda Security y se le ha nombrado sus descubridores de esa forma. En este año los ransomware se han vuelto algo muy frecuente y muy peligroso, pero ¿qué es exactamente?

El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear el PC desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate.

Una vez conocida la definición veamos como funciona este Ransomware o como ataca a los ordenadores. Según informa la empresa de Panda Security han podido determinar que el vector utilizado para distribuir ”CriptoBit” está siendo el uso de Exploits Kits” que afectan a diferentes navegadores web.

Comportamiento:

Cryptobit-1

 

  • Lo primero que hace “CriptoBit” es comprobar los idiomas configurados para el teclado. Si el teclado está configurado con uno de los siguientes códigos: 0x1a7, 0x419 (Russian) o 0x43f (Kazakh), el programa terminará sin cifrar ningún fichero.
  • Tras comprobar que el teclado no está en su “blacklist”, “CriptoBit” empezará a recorrer todas las unidades de disco locales, carpetas de red, y unidades removibles (USB), en busca de ficheros que contengan alguna de las extensiones por las cuales se interesa. ¿Con qué objetivo? Cifrar el contenido completo del fichero (otra característica peculiar) para poder solicitar posteriormente su rescate.

En concreto “CriptoBit” se interesa por las siguientes extensiones de ficheros:

ods crp arj tar raw xlsm prproj der 7zip bpw dxf ppj tib nbf dot pps dbf qif nsf ifx cdr pdb kdbx tbl docx qbw accdb eml pptx kdb p12 tax xls pgp rar xml sql 4dd iso max ofx sdf dwg idx rtf dotx saj gdb wdb pfx docm dwk qba mpp 4db myo doc xlsx ppt gpg gho sdc odp psw psd cer mpd qbb dwfx dbx mdb crt sko nba jpg nv2 mdf ksd qbo key pdf aes 3ds qfx ppsx sxc gxk aep odt odb dotm accdt fdb csv txt zip

Una vez finalizado el proceso de cifrado de ficheros, el usuario podrá ver cómo le aparece en su equipo una ventana similar a la mostrada a continuación:

Cryptobit-2

 

En este mensaje vemos algunos detalles que llaman la atención y que pueden servir para clasificar este nuevo “ransomware”:

El ID mostrado “58903347”

Para la muestra analizada, este valor resulta ser siempre el mismo. No importa si se ejecuta este Malware en repetidas ocasiones, o si se hace en diferentes equipos. Esto hace pensar que nos encontramos con un ID de “ransomware” más que de usuario (o equipo).

La cantidad de “bitcoins” a pagar

Por lo general, las cantidades exigidas, o bien son fijas, o tienen un límite razonable. En este caso, vemos que el autor (o autores) de esta muestra solicitan un rescate “un poco” abusivo.

La forma de contacto

En este caso no existe un servidor web accesible a través de una URL, tampoco se le pide al usuario nada en concreto, o al menos se desconoce de entrada.

Se pide al usuario que contacte con una dirección de correo ([email protected]) de dudosa validez y, en el caso de no recibir respuesta, contactar con él utilizando una aplicación denominada “Bitmessage”; un “fork” de otra aplicación que podemos encontrar en “github”.

Adicionalmente, y por si este mensaje no fuera suficiente para convencerle de que sus ficheros han sido cifrados, cada vez que éste acceda a una carpeta con alguno de estos ficheros ahora indescifrables, descubrirá allí también un par de ficheros “extra” creados de forma intencionada:

Cryptobit-3

OKSOWATHAPPENDTOYOURFILES.TXT

Si visualizamos este fichero nos encontramos con el mismo mensaje (esta vez en formato texto) que se le mostró al usuario una vez finalizado el cifrado de sus ficheros.

sekretzbel0ngt0us.KEY

En este segundo fichero podemos ver una secuencia hexadecimal de longitud 1024 que, una vez decodificada, corresponde a una secuencia binaria de 512 bytes (o 4096 bits).

Más adelante, en el apartado de “Cifrado”, se mostrará cual es el sentido del fichero denominado “sekretzbel0ngt0us.KEY”, y la encriptación que ha sido utilizada para cifrar los ficheros.

Otra acción que realiza “CriptoBit”, ya de forma transparente para el usuario, es realizar una petición HTTP a:

http://videodrome69.net/knock.php?id=58903347

Nota: el script “knock.php” solicitado aparentemente no existe, por lo que se ignoran los motivos reales de esta última acción.

CIFRADO DE FICHEROS

Para cifrar los ficheros, “CriptoBit” hace uso del algoritmo AES (“Advanced Encryption Standard”) generando, en cada ejecución, una clave aleatoria de longitud 32 bytes (256 bits), lo cual hace prácticamente imposible descifrar los ficheros salvo que ésta sea conocida.

Compartir

Etiquetas:

Estaremos encantados de escuchar lo que piensas

Deje una respuesta

Register New Account
Reset Password
A %d blogueros les gusta esto: