Cómo infectar un ordenador con ransomware CryptoLocker

Artículo escrito por Pablo Fernández Burgueño (@Pablofb)

Nos estamos enfrentando a una de las mayores amenazas en el campo de la seguridad informática: ransomware con rescate en Bitcoin. Un ejemplo es CryptoLocker. Otro ejemplo, Wana Decrypt 2.0, ransomware que infectará ordenadores de Telefónica en 2017.

Hemos infectado uno de nuestros ordenadores para poner CryptoLocker a prueba. Esta es la historia.

Hace unas semanas recibí un correo de CryptoLocker y me llamó la atención. Llamé a mis compañeros de equipo para asuntos de Bitcoin: Alberto Gómez Toribio y Jorge Ordovás. Jorge ya había recibido algún correo de estos e incluso había ayudado a unos afectados. Los tres (Alberto, Jorge y yo) quedamos en realizar una tanda de experimentos del que este es solo el primero: Infectarnos con CryptoLocker y aprender sobre el proceso del rescate con bitcoins.

Descargamos y ejecutamos CryptoLocker en un PC limpio, conectado a un router específico de nuestro Laboratorio de Innovación Jurídica. El ordenador quedó infectado y todos los archivos debidamente cifrados. Una vez hicimos la prueba, comenzamos un segundo experimento (Fase 2) del que hablaremos más adelante.

Hablemos entonces del primer experimento (Fase 1): la infección, el cifrado y el descifrado.

1452485_486186551497069_494854929_n1
Mensaje del malware ransomware CryptoLocker

1.- Qué es el ransomware CryptoLocker

El ransomware CryptoLocker es un malware o programa informático malicioso que cifra todos los archivos residentes en un ordenador. A este cifrado, que convierte el contenido de los archivos en información inaccesible, se le denomina ‘secuestro’.

Salvo excepciones, la única forma de recuperar la información es pagar un ‘rescate’. Este pago antes podía realizarse por medio de transferencias bancarias, a través de muleros, lo cual hacía que el destino del dinero fuese localizable, aunque con cierta dificultad. Sin embargo, ahora el rescate se pide en bitcoins, de forma que el destino del dinero se pueda llegar a hacer potencialmente irrastreable. Los delincuentes piden unos 300€ en bitcoins y ofrecen a la víctima un plazo de unos días para enviarlos. En caso de que se retrase, el importe del rescate se duplica.

A todo esto le añaden una amenaza y dos sorpresas: la amenaza es que, si no atiendes al pago, destruirán la única clave privada que puede descifrar los contenidos; la primera sorpresa es que pueden subir el precio del rescate si te ven desesperado; y la segunda sorpresa es que el ransomware cryptolocker no desaparece sino que se reactiva pasado un tiempo, en caso de que el afectado pague y logre descifrar los archivos.

mapa_filecoder_mayo2015
Mapa donde se ven las infecciones de CryptoLocker durante mayo 2015. Imagen cedida por Josep Albors, de ESET

2.- Cuántos afectados hay por CriptoLocker

En las últimas dos semanas hemos tenido conocimiento de 10 casos de empresas infectadas con este malware. Estos datos son particularmente interesantes:

El undécimo caso, quisimos ser nosotros infectando un ordenador en un espacio controlado: nuestro Laboratorio de Innovación Jurídica.

3.- Cómo se produce la infección

Así infectamos nuestro ordenador:

1) El 5 de mayo de 2015 recibí un e-mail aparentemente de Correos.

Captura de pantalla 2015-05-31 13.28.52
Pulsa sobre la imagen para ver el e-mail ampliado

Texto del e-mail:

Su paquete ha llegado 29 de abril. Courier no pudo entregar una carta certificada a usted. Imprima la información de envío y mostrarla en la oficina de correos para recibir la carta cerficiada.

Descargar información sobre su envío.

Si la carta certificada no se recibe dentro de los 30 días laborables Correos tendría derecho a reclamar una indemnización a usted para el está manteniendo una cantidad de 8,95 euros por cada día de cumplir. Usted puede encontrar la información sobre el procedimiento y las condiciones de la carta de mantener en la oficina más cercana. Este es un mensaje generado automáticamente.

2) Accedemos a una web aparentemente de Correos: Al pulsar en el enlace, accedo a una página web con apariencia similar a la de Correos (ver la página ‘buena’ oficial de Correos).

correos falso - copia
Página que imita a la de Correos

Acción peligrosa que recomendamos no realizar: Para aquellos que tengan curiosidad, la página maliciosa que se hace pasar por la Correos se encuentra alojada en este dominio al que recomendamos no acceder: http://toys.inspirr.computerline.hk/. La página principal del sitio web aparenta ser una inofensiva tienda de juguetes con sede en Hong Kong llamada ‘Play to Learn’. Hemos capturado la página para que puedas verla sin poner en riesgo tu ordenador: captura de ‘Play to Learn’. La página falsa, que imita a la de Correos (ver captura), se corresponde con una URI montada sobre el dominio de la aparente tienda.

3) Descargamos un zip de la web que aparenta ser de Correos: En la página maliciosa, que imita con su apariencia ser de Correos, introducimos el código captcha mostrado. A continuación, se nos permitió descargar un archivo comprimido (zip) con la información que debía imprimir y mostrar en Correos para retirar nuestra carta certificada. Este código captcha, a pesar de ser siempre el mismo, otorga a la página cierta apariencia de legitimidad.

4) Infectamos el PC al abrir el CryptoLocker oculto con forma de DPF, ubicado en el zip: Abrimos el zip, sacamos el PDF y comprobamos sus propiedades. Vemos que es un ejecutable con apariencia de PDF. Lo abrimos y… nuestro ordenador queda infectado. El PDF no es un PDF; es un archivo que, bajo la apariencia de PDF, esconde un ejecutable del malware ransomware CryptoLocker. Este malware se despliega por el ordenador cifrando todos los archivos con unas claves específicas (muchas de certificado de clave simétrica y una asimétrica). Todos los archivos tocados por CryptoLocker se convierten en archivos de código indescifrable. La única forma de revertir este cifrado es aplicando una clave única de descifrado, que solo está en posesión de los delincuentes.

Captura de pantalla 2015-05-31 16.40.125
Esta captura no forma parte del proceso, pero la he creado para reflejar la igualdad entre archivos distintos. Uno de los archivos no es un PDF sino un ejecutable. La apariencia es la misma debido a que Windows oculta las extensiones y permite cambiar el icono del archivo.

Actividad peligrosa que recomendamos no realizar: El compañero Yago Jesús (@YJesus), creador de eGarante, ha compartido aquí una versión del malware para su estudio y análisis. Recomendamos no descargarlo y mucho menos probarlo.

De esta forma, abriendo un aparente PDF, los atacantes nos dejan sin acceso a toda la información que alojaba el PC. Es decir, secuestran digitalmente nuestros datos.

En los casos que conocemos, uno de ellos es de una clínica, las empresas han perdido acceso a toda la información y datos que debían custodiar diligentemente. Esta circunstancia sumada al hecho de que no guardan copias de seguridad, les convierte en responsables de una infracción grave de protección de datos por la que están obligadas a denunciarse a sí mismas y a poner los hechos en conocimiento de las personas afectadas de forma directa (si es que guardan algún registro de ellos) o a través de un medio que haga posible la llegada de la información a los afectados.

800px-Transmediale-2010-Ryoji_Ikeda-Data-Tron-2
CryptoLocker cifra los archivos de manera que sea imposible comprender su contenido. (imagen cedida por Shervinafshar)

4.- Cómo se cifran los archivos

Para comprender el sistema de cifrado, recomendamos leer estas dos entradas:

En nuestro experimento, en cuanto hice clic en el aparente PDF (troyano, en realidad) este instaló CryptoLocker en el equipo, realizó una copia de sí mismo, se configuró para ejecutarse al reinicio (creando una entrada en los autoruns) y se auto-protegió. A continuación, comenzó el cifrado.

El cifrado funciona de la siguiente forma:

  1. Primero localiza los archivos no ejecutables. Es decir, localiza archivos de texto, fotos, listados… Son los archivos que serán cifrados.
  2. Se crea una clave simétrica aleatoria para cada archivo
  3. Se cifran los archivos con dichas claves simétricas aleatorias.
  4. Se cifra la clave simétrica aleatoria de cada archivo con un algoritmo asimétrico RSA. Esta clave se añade al archivo cifrado.
  5. Cada archivo cifrado sobrescribe al original, impidiendo su recuperación con técnicas forenses.

Los delincuentes se aseguran de tener la única llave que abre el cifrado y que permite recuperar el contenido de los archivos.

Si el ordenador que usamos hubiese tenido instalado un buen antivirus, probablemente esto también hubiera sucedido. El CryptoLocker técnicamente no es un virus, por lo que El Brujo aporta una serie de consejos sobre cómo prevenir el ataque. Hicimos otra prueba más adelante con ESET Smart Security (v. 5.0.95.0) instalado y el antivirus nos advirtió perfectamente del peligro que ocultaba el zip. Solo hemos hecho la prueba con esta versión de ESET y podemos recomendarla por su eficacia. Recomendamos también AntiRansom, para evitar ciertos ataques de ransomware.

Una vez están cifrados todos los archivos, los delincuentes proceden a pedirnos un rescate mostrando en pantalla este mensaje:

cryptolocker1
«Hemos cifrado sus archivos con CryptoLocker«. «Haga clic aquí para comprar software de descifrado«

Los archivos ya están cifrados. Ahora toca descifrarlos.

decrpytcryptolocker - copia
A veces es posible descifrar gratis los archivos usando esta solución: DecryptCryptoLocker

5.- Cómo se descifran los archivos

Para conocer consejos sobre cómo recuperar los archivos recomiendo leer:

El mensaje anterior, en el que se indica que todos los archivos están cifrados, nos envía a una página, oculta en la red TOR, con una nota de rescate personalizada.

Me gustaría llamar la atención en tres puntos:

  1. Los delincuentes nos permiten descifrar un solo archivo para demostrar que van en serio.
  2. La página tiene una sección de FAQs (preguntas frecuentes) y una de apoyo en la que, en ocasiones, muestran un teléfono de atención al afectado. En nuestro caso no lo mostraba.
  3. El pago del rescate debe hacerse en bitcoins a una dirección específica creada al efecto. Los delincuentes crean una dirección diferente por infectado. Por si el afectado no sabe aún qué es Bitcoin, la página cuenta con una sección didáctica en la que lo explican con texto y vídeos explicativos.
Sin título
Nota de rescate. Llama la atención que el español que utilizan es especialmente correcto para este tipo de actividad. Incluso piden por favor que se realice la instalación de la solución. No quieren enemigos.

La herramienta CriptoLocker cifra los archivos de manera que solo los delincuentes sean capaces de descifrarlos.

Parece que existen mecanismos complejos que, con suerte, podrían lograr descifrar algunos archivos. Sin embargo, los casos que conocemos han acabado solo en éxito parcial: algunos archivos se han logrado descifrar mientras que la mayoría han quedado destruidos. Nosotros aún no hemos probado estas herramientas. Ahora tengo que irme unos días a Canarias para colaborar con 112 en las III Jornadas sobre Tecnología y Nuevas Emergencias, pero me pongo a ello en cuanto regrese.

Consejo de la Policía: no pagues el rescate.

fact
Adquisición de 20€ en bitcoins. Esta es la factura de compra.

6.- ¿Cómo pagar el rescate?

Todo infectado tiene que optar por una de estas dos opciones:

  • Opción A: No pagar el rescate y empezar de cero.
  • Opción B: Pagar 300€ de rescate y obtener acceso a todo lo perdido.

Nosotros tenemos una opción ‘C’: seguir con el experimento. Por un lado, trataré de descifrar los archivos usando herramientas alternativas. Por otro, el equipo que formo con Alberto y Jorge comienza la Fase 2 del experimento de la que ojalá podamos hablar muy pronto.

Una empresa que quiera pagar tendría que hacer lo siguiente:

  1. Instalar un monedero de bitcoins en un ordenador diferente al infectado.
  2. Obtener una dirección de bitcoins en dicho monedero. La dirección es como una cuenta bancaria. Mientras no metas nada ahí, está vacía.
  3. Comprar 300€ en bitcoins y meterlos en su cartera.
  4. Enviar los bitcoins a la dirección del delincuente.

Cómo comprar bitcoins:

Tras enviar los bitcoins, el pago queda realizado y, a cambio, recibes un ejecutable. Lo instalas en el equipo infectado y, al rato, todos los archivos están descifrados y aparentemente liberados.

death-164761_1280
Así es un cracker. Hay más en esta esta web (Foto cedida por Public Domain Pictures)

7.- Sorpresas del CryptoLocker

La primera sorpresa consiste un aumento del precio en caso de que el delincuente vea que el afectado está desesperado. El precio puede escalar tanto como el delincuente crear que el afectado puede pagar.

La segunda sorpresa consiste en un regalito que deja el programa que cifra o el que descifra los datos. El afectado tiene que instalar un programa entregado por los delincuentes. Por lo general, este programa contiene algún tipo de malware, que puede ser por ejemplo, una reactivación del ransomware CryptoLocker pasado cierto tiempo. Tenemos información de una empresa a la que le han cifrado el ordenador en tres ocasiones consecutivas. Consejo: guarda una copia de seguridad en un disco desconectado del PC.

Sorpresas bonus

Los_Pollos_Hermanos_virus
Variante de CryptoLocker en la que se muestra el logotipo del establecimiento ‘Los Pollos Hermanos‘ de la popular serie Breaking Bad

8.- Acciones para localizar a los delincuentes

La red Bitcoin está diseñada para permitir el anonimato. 

Estimo, personalmente, necesaria la regulación del Bitcoin en España de la siguiente forma: Todas las sociedades españolas que deseen usar Bitcoin deberán:

  • Registrarse en Hacienda como operadoras con bitcoins.
  • Llevar un registro interno de las direcciones bitcoin de las que son titulares.

La cantidad de dirección Bitcoin que se puede generar gratuitamente en la Red es inmensa. Sin embargo, esta pequeña lista de empresas que puede tener Hacienda y las listas que tengan cada una de las empresas pueden ayudar por los siguientes motivos:

  1. La Administración Tributaria podrá identificar los movimientos de capital de las empresas.
  2. En caso de inspección, Hacienda o la Policía podrá solicitar el registro de las direcciones en las que figura este tipo de activo de la empresa, junto con todos los movimientos que se han realizado.
  3. Los delincuentes cometen errores y es posible que alguno realice en algún momento alguna transacción hacia alguna de las direcciones identificadas.

Es probable que esta propuesta no sea apreciada por anti-sistemas, anárquicos de Internet y gente que opina que el Bitcoin no debe ser regulado. Desde mi punto de vista como profesional preocupado por la seguridad y la economía, veo la propuesta ajustada a lo que ahora se necesita.

9.- Qué hacer en caso de que creas que has sido infectado por CryptoLocker

Si crees que CryptoLocker te ha cifrado o te está cifrando los ficheros, sigue estos pasos:

  1. Apaga el ordenador lo más rápidamente que puedas. No lo enciendas.
  2. Llama a un perito informático. Aconsejo dos: Lorenzo Martínez (de Securízame) y Yago Jesús (de Security by default). Cuéntales todo y déjate asesorar.
  3. Con el consejo del perito, acude a la Policía o a la Guardia Civil


Si has sido afectado, para el Experimento en Fase 2 necesitamos conocer las direcciones a las que te han hecho pagar. Aunque no te podamos dar ahora más detalles, si quieres colaborar con la investigación envíanosla a través de nuestro formulario de contacto.

10.- Brain, un sistema para desanonimizar Bitcoin y cazar a los delincuentes

Brain es un software creado por NevTrace con una única finalidad: des-anonimizar los pagos realizados a través de la red Bitcoin.

El prototipo Brain analiza los patrones de envío de bitcoins que o bien comienzan con cantidades determinadas o bien están potencialmente relacionadas con direcciones incluidas en una lista negra. Los movimientos particularmente extraños detectados dentro de la cadena de bloques son puestos en relación con todos los demás, desde el comienzo de las transacciones Bitcoin hasta la fecha. Este análisis de los datos aporta información que permite saltarse mixers y otros sistema de ofuscación. Una vez se ha vinculado el inicio del movimiento del dinero con su destino, Brain coteja los resultados con varios millares de fuentes de terceros. El sistema recopila información útil, a través de los hallazgos, que conserva para analizar nuevos pagos.

Brain ha permitido localizar a varias empresas y particulares detrás de los ataques de cryptoloker en España. Gracias a Brain sabemos quiénes son muchos de los sujetos que están recibiendo los pagos, aunque no tenemos la certeza de que sean los que han causado las infecciones. Los resultados han sido puestos en manos de la UIT del Cuerpo Nacional de Policía y del GDT de la Guardia Civil.

Los miembros de NevTrace, creadores de Brain, fueron invitados por la Policía para presentar su software a la Europol, en La Haya, ademas de en congresos de hackers como Navaja Negra, en Albacete. Desde entonces, Brain trabaja a las órdenes de Cuerpos y Fuerzas de Seguridad de varios estados del mundo para detectar receptores de pagos en bitcoin no solo vinculados con el ransomware cryptolocker.

NevTrace está formado por  Alberto Gómez ToribioJorge Ordovás y Pablo Fdez. Burgueño.

One thought on “Cómo infectar un ordenador con ransomware CryptoLocker”

Deja un comentario

Ir al contenido