Teslacrypt y Locky, los Ransomwares que están proliferando anexados a mails masivos, entre otros métodos, uno anexando ficheros EXE y otro generalmente a través de un DOC con macros descargando el malware
Estamos en la época de los ransomwares, malwares que una vez ejecutados en un ordenador, cifran la información de los ficheros de datos de unidades compartidas, incluido el servidor.
Es difícil que quien lea estas lineas no haya sufrido ya algún ataque de un ransomware y sepa lo costoso que resulta recuperar la información, bien desde la copia de seguridad, si se tiene, o bien pagando el rescate al hacker, nunca aconsejable salvo contadas excepciones de “vida o muerte” …
Entendiendo que no hace falta explicar el detalle de los ransomwares en general, las dos familias que destacan actualmente, son la del TESLACRYPT y la del LOCKY
Del primero, del que ya conocemos variantes iniciales desde hace algunos meses, que añadían a los ficheros cifrados las extensiones .CCC, .EZZ, .VVV. … y ahora recientemente .MICRO y .MP3, ha ido evolucionando hasta llegar a cifrar con un algoritmo RSA4096 que es prácticamente imposible de descifrar, si no se cuenta con el hacker, pero ademas, este ha ido también cambiando el método, hasta llegar últimamente a borrar el fichero malware una vez terminada la “faena”, con lo cual encontrar el culpable y analizarlo para poder controlarlo, se hacia mas difícil, si no se cazaba en su fase de cifrado inicial, antes de que se borrara el fichero malware.
Pero desde hace tres o cuatro días, la variante del TESLACRYPT que identificamos como”R”, siguiendo las letras del abecedario para diferenciar las diferentes variantes, que, al igual que el “Q”, anterior a este último, añade .MP3, mientras que los que añadían .MICRO eran los M, N, O, P, con diferentes características en los ficheros de mensajes para el pago del rescate y de las claves de lanzamiento, pues los de la serie “Q” eran de los que borraban el fichero malware al terminar el cifrado, mientras que los actuales, de la serie R, el fichero persiste y, si bien deja de estar activo cuando acaba el cifrado, instala otra clave diferente de lanzamiento del mismo fichero, para que se ponga en marcha en el siguiente reinicio, y si el usuario se piensa que el virus ya ha terminado la faena y restaura la copia de seguridad, se encuentra de nuevo con que vuelven a cifrarse los ficheros al siguiente reinicio.
Hemos visto en algún informe del SPROCES, hasta 9 claves diferentes lanzando el mismo fichero, señal de que el usuario había reiniciado 9 veces desde la entrada de dicho malware…
Afortunadamente con el actual ELISTARA, ademas de controlar específicamente los que hemos ido recibiendo, pedidos por la heuristica de dicha utilidad, ya detecta, sea cual fuere el nombre y contenido de dicho ransomware TESLACRYPT-R, lo aparca en C:\muestras, avisando al usuario de la detección y pidiendo que nos envíe muestra para analizar y controlar.
Y esta es la historia que hemos ido contando en las noticias diarias de nuestro blog, respecto a las ultima variantes del dichoso TESLACRYPT, pero hay otro que está haciendo de las suyas añadiendo .LOCKY al final de los ficheros cifrados, ademas de cambiar el nombre del fichero, si bien este no se recibe en un EXE directamente, sino que es mas elaborado y salvo raras excepciones que hemos visto que llega en un JS, se recibe en ficheros DOC y DOCM, con macros maliciosas que descargan el ransomware en cuestión.
A los ficheros cifrados les cambia el nombre, convirtiéndolos por ejemplo en:
8BC6F38F94390507 (VARIABLE) ****************.locky
lo cual hace mas difícil saber cuales eran dichos ficheros, aunque de poco serviría…
De este ransomware LOCKY publicamos detalle de monitorizacion en:
Del TESLACRYPT-R, arriba indicado, se puede ver noticia al respecto en:
https://www.satinfo.es/blog/2016/67314/
Posible recuperación con las últimas variantes de Teslacrypt:
Y recordamos nuestra Biblia de protección contra los ransomwares en general, que está disponible en:
https://www.satinfo.es/blog/2015/62372/
Mucho cuidado con toda esta moda de cifrado malicioso de ficheros, que están proliferando continuamente, y que las Normas a Seguir para evitarlos, indicadas en el último enlace, son muy importantes, conviene que las conozcan todos los usuarios, para tenerlas en cuenta, ya que, en definitiva, son los que pueden evitar el desastre, prestando atención a lo indicado.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 25 de Febrero de 2016