Artículo escrito por Pablo Fernández Burgueño (@Pablofb)
Nos estamos enfrentando a una de las mayores amenazas en el campo de la seguridad informática: ransomware con rescate en Bitcoin. Un ejemplo es CryptoLocker. Otro ejemplo, Wana Decrypt 2.0, ransomware que infectará ordenadores de Telefónica en 2017.
Hemos infectado uno de nuestros ordenadores para poner CryptoLocker a prueba. Esta es la historia.
Hace unas semanas recibí un correo de CryptoLocker y me llamó la atención. Llamé a mis compañeros de equipo para asuntos de Bitcoin: Alberto Gómez Toribio y Jorge Ordovás. Jorge ya había recibido algún correo de estos e incluso había ayudado a unos afectados. Los tres (Alberto, Jorge y yo) quedamos en realizar una tanda de experimentos del que este es solo el primero: Infectarnos con CryptoLocker y aprender sobre el proceso del rescate con bitcoins.
Descargamos y ejecutamos CryptoLocker en un PC limpio, conectado a un router específico de nuestro Laboratorio de Innovación Jurídica. El ordenador quedó infectado y todos los archivos debidamente cifrados. Una vez hicimos la prueba, comenzamos un segundo experimento (Fase 2) del que hablaremos más adelante.
Hablemos entonces del primer experimento (Fase 1): la infección, el cifrado y el descifrado.

1.- Qué es el ransomware CryptoLocker
El ransomware CryptoLocker es un malware o programa informático malicioso que cifra todos los archivos residentes en un ordenador. A este cifrado, que convierte el contenido de los archivos en información inaccesible, se le denomina ‘secuestro’.
Salvo excepciones, la única forma de recuperar la información es pagar un ‘rescate’. Este pago antes podía realizarse por medio de transferencias bancarias, a través de muleros, lo cual hacía que el destino del dinero fuese localizable, aunque con cierta dificultad. Sin embargo, ahora el rescate se pide en bitcoins, de forma que el destino del dinero se pueda llegar a hacer potencialmente irrastreable. Los delincuentes piden unos 300€ en bitcoins y ofrecen a la víctima un plazo de unos días para enviarlos. En caso de que se retrase, el importe del rescate se duplica.
A todo esto le añaden una amenaza y dos sorpresas: la amenaza es que, si no atiendes al pago, destruirán la única clave privada que puede descifrar los contenidos; la primera sorpresa es que pueden subir el precio del rescate si te ven desesperado; y la segunda sorpresa es que el ransomware cryptolocker no desaparece sino que se reactiva pasado un tiempo, en caso de que el afectado pague y logre descifrar los archivos.

2.- Cuántos afectados hay por CriptoLocker
En las últimas dos semanas hemos tenido conocimiento de 10 casos de empresas infectadas con este malware. Estos datos son particularmente interesantes:
- España es el país del mundo con más infecciones por CryptoLocker, según informó Josep Albors, de ESET, en la X1RedMásSegura (ver aquí).
- España tiene un 38,3% de ordenadores infectados, aumentando los ataques por CryptoLocker, según Panda Security (leer aquí).
El undécimo caso, quisimos ser nosotros infectando un ordenador en un espacio controlado: nuestro Laboratorio de Innovación Jurídica.
3.- Cómo se produce la infección
Así infectamos nuestro ordenador:
1) El 5 de mayo de 2015 recibí un e-mail aparentemente de Correos.

Texto del e-mail:
Su paquete ha llegado 29 de abril. Courier no pudo entregar una carta certificada a usted. Imprima la información de envío y mostrarla en la oficina de correos para recibir la carta cerficiada.
Descargar información sobre su envío.
Si la carta certificada no se recibe dentro de los 30 días laborables Correos tendría derecho a reclamar una indemnización a usted para el está manteniendo una cantidad de 8,95 euros por cada día de cumplir. Usted puede encontrar la información sobre el procedimiento y las condiciones de la carta de mantener en la oficina más cercana. Este es un mensaje generado automáticamente.
2) Accedemos a una web aparentemente de Correos: Al pulsar en el enlace, accedo a una página web con apariencia similar a la de Correos (ver la página ‘buena’ oficial de Correos).

Acción peligrosa que recomendamos no realizar: Para aquellos que tengan curiosidad, la página maliciosa que se hace pasar por la Correos se encuentra alojada en este dominio al que recomendamos no acceder: http://toys.inspirr.computerline.hk/. La página principal del sitio web aparenta ser una inofensiva tienda de juguetes con sede en Hong Kong llamada ‘Play to Learn’. Hemos capturado la página para que puedas verla sin poner en riesgo tu ordenador: captura de ‘Play to Learn’. La página falsa, que imita a la de Correos (ver captura), se corresponde con una URI montada sobre el dominio de la aparente tienda.
3) Descargamos un zip de la web que aparenta ser de Correos: En la página maliciosa, que imita con su apariencia ser de Correos, introducimos el código captcha mostrado. A continuación, se nos permitió descargar un archivo comprimido (zip) con la información que debía imprimir y mostrar en Correos para retirar nuestra carta certificada. Este código captcha, a pesar de ser siempre el mismo, otorga a la página cierta apariencia de legitimidad.
4) Infectamos el PC al abrir el CryptoLocker oculto con forma de DPF, ubicado en el zip: Abrimos el zip, sacamos el PDF y comprobamos sus propiedades. Vemos que es un ejecutable con apariencia de PDF. Lo abrimos y… nuestro ordenador queda infectado. El PDF no es un PDF; es un archivo que, bajo la apariencia de PDF, esconde un ejecutable del malware ransomware CryptoLocker. Este malware se despliega por el ordenador cifrando todos los archivos con unas claves específicas (muchas de certificado de clave simétrica y una asimétrica). Todos los archivos tocados por CryptoLocker se convierten en archivos de código indescifrable. La única forma de revertir este cifrado es aplicando una clave única de descifrado, que solo está en posesión de los delincuentes.

Actividad peligrosa que recomendamos no realizar: El compañero Yago Jesús (@YJesus), creador de eGarante, ha compartido aquí una versión del malware para su estudio y análisis. Recomendamos no descargarlo y mucho menos probarlo.
De esta forma, abriendo un aparente PDF, los atacantes nos dejan sin acceso a toda la información que alojaba el PC. Es decir, secuestran digitalmente nuestros datos.
En los casos que conocemos, uno de ellos es de una clínica, las empresas han perdido acceso a toda la información y datos que debían custodiar diligentemente. Esta circunstancia sumada al hecho de que no guardan copias de seguridad, les convierte en responsables de una infracción grave de protección de datos por la que están obligadas a denunciarse a sí mismas y a poner los hechos en conocimiento de las personas afectadas de forma directa (si es que guardan algún registro de ellos) o a través de un medio que haga posible la llegada de la información a los afectados.

4.- Cómo se cifran los archivos
Para comprender el sistema de cifrado, recomendamos leer estas dos entradas:
- Concisa (por Panda Security): CryptoLocker: Qué es y cómo evitarlo
- Extensa (por El Brujo en ElHacker.net): Nueva variante del virus CryptoLocker: Crypt0L0cker
En nuestro experimento, en cuanto hice clic en el aparente PDF (troyano, en realidad) este instaló CryptoLocker en el equipo, realizó una copia de sí mismo, se configuró para ejecutarse al reinicio (creando una entrada en los autoruns) y se auto-protegió. A continuación, comenzó el cifrado.
El cifrado funciona de la siguiente forma:
- Primero localiza los archivos no ejecutables. Es decir, localiza archivos de texto, fotos, listados… Son los archivos que serán cifrados.
- Se crea una clave simétrica aleatoria para cada archivo
- Se cifran los archivos con dichas claves simétricas aleatorias.
- Se cifra la clave simétrica aleatoria de cada archivo con un algoritmo asimétrico RSA. Esta clave se añade al archivo cifrado.
- Cada archivo cifrado sobrescribe al original, impidiendo su recuperación con técnicas forenses.
Los delincuentes se aseguran de tener la única llave que abre el cifrado y que permite recuperar el contenido de los archivos.
Si el ordenador que usamos hubiese tenido instalado un buen antivirus, probablemente esto también hubiera sucedido. El CryptoLocker técnicamente no es un virus, por lo que El Brujo aporta una serie de consejos sobre cómo prevenir el ataque. Hicimos otra prueba más adelante con ESET Smart Security (v. 5.0.95.0) instalado y el antivirus nos advirtió perfectamente del peligro que ocultaba el zip. Solo hemos hecho la prueba con esta versión de ESET y podemos recomendarla por su eficacia. Recomendamos también AntiRansom, para evitar ciertos ataques de ransomware.
Una vez están cifrados todos los archivos, los delincuentes proceden a pedirnos un rescate mostrando en pantalla este mensaje:

Los archivos ya están cifrados. Ahora toca descifrarlos.

5.- Cómo se descifran los archivos
Para conocer consejos sobre cómo recuperar los archivos recomiendo leer:
- Microsoft Insider: ¿Tus archivos han sido cifrados por Cryptolocker? Te enseñamos cómo recuperarlos
- Hardmicro: Cómo recuperar los archivos de CryptoLocker
El mensaje anterior, en el que se indica que todos los archivos están cifrados, nos envía a una página, oculta en la red TOR, con una nota de rescate personalizada.
Me gustaría llamar la atención en tres puntos:
- Los delincuentes nos permiten descifrar un solo archivo para demostrar que van en serio.
- La página tiene una sección de FAQs (preguntas frecuentes) y una de apoyo en la que, en ocasiones, muestran un teléfono de atención al afectado. En nuestro caso no lo mostraba.
- El pago del rescate debe hacerse en bitcoins a una dirección específica creada al efecto. Los delincuentes crean una dirección diferente por infectado. Por si el afectado no sabe aún qué es Bitcoin, la página cuenta con una sección didáctica en la que lo explican con texto y vídeos explicativos.

La herramienta CriptoLocker cifra los archivos de manera que solo los delincuentes sean capaces de descifrarlos.
Parece que existen mecanismos complejos que, con suerte, podrían lograr descifrar algunos archivos. Sin embargo, los casos que conocemos han acabado solo en éxito parcial: algunos archivos se han logrado descifrar mientras que la mayoría han quedado destruidos. Nosotros aún no hemos probado estas herramientas. Ahora tengo que irme unos días a Canarias para colaborar con 112 en las III Jornadas sobre Tecnología y Nuevas Emergencias, pero me pongo a ello en cuanto regrese.
Consejo de la Policía: no pagues el rescate.

6.- ¿Cómo pagar el rescate?
Todo infectado tiene que optar por una de estas dos opciones:
- Opción A: No pagar el rescate y empezar de cero.
- Opción B: Pagar 300€ de rescate y obtener acceso a todo lo perdido.
Nosotros tenemos una opción ‘C’: seguir con el experimento. Por un lado, trataré de descifrar los archivos usando herramientas alternativas. Por otro, el equipo que formo con Alberto y Jorge comienza la Fase 2 del experimento de la que ojalá podamos hablar muy pronto.
Una empresa que quiera pagar tendría que hacer lo siguiente:
- Instalar un monedero de bitcoins en un ordenador diferente al infectado.
- Obtener una dirección de bitcoins en dicho monedero. La dirección es como una cuenta bancaria. Mientras no metas nada ahí, está vacía.
- Comprar 300€ en bitcoins y meterlos en su cartera.
- Enviar los bitcoins a la dirección del delincuente.
Cómo comprar bitcoins:
- A través de LocalBitcoins.
- Acude a un cajero de bitcoins. Nosotros hemos probado el que hay en One Shot Recoletos y el que está ubicado en el centro comercial ABC Serrano. La empresa que gestiona el cajero del centro comercial cobra una comisión del 6%+IVA por cada compra. Aquí tienes la factura de nuestra reciente compra de bitcoins: factura de compra de bitcoins en el cajero de ABC Serrano.
- Encuentra a alguien cercano que tenga y te los preste.
- Usa la aplicación Coinffeine.
- Es improbable que tengas tiempo de comprarlos en un exchange. Pero, si lo tienes, usa Coinbase, Kraken o Bitstamp.
Tras enviar los bitcoins, el pago queda realizado y, a cambio, recibes un ejecutable. Lo instalas en el equipo infectado y, al rato, todos los archivos están descifrados y aparentemente liberados.

7.- Sorpresas del CryptoLocker
La primera sorpresa consiste un aumento del precio en caso de que el delincuente vea que el afectado está desesperado. El precio puede escalar tanto como el delincuente crear que el afectado puede pagar.
La segunda sorpresa consiste en un regalito que deja el programa que cifra o el que descifra los datos. El afectado tiene que instalar un programa entregado por los delincuentes. Por lo general, este programa contiene algún tipo de malware, que puede ser por ejemplo, una reactivación del ransomware CryptoLocker pasado cierto tiempo. Tenemos información de una empresa a la que le han cifrado el ordenador en tres ocasiones consecutivas. Consejo: guarda una copia de seguridad en un disco desconectado del PC.
Sorpresas bonus
- A veces, los archivos no se descifran aunque pagues por ello.
- El ransomware evoluciona
- Se acaba de crear un generador de versiones gratuitas de CryptoLocker con pago en bitcoins.

8.- Acciones para localizar a los delincuentes
La red Bitcoin está diseñada para permitir el anonimato.
Estimo, personalmente, necesaria la regulación del Bitcoin en España de la siguiente forma: Todas las sociedades españolas que deseen usar Bitcoin deberán:
- Registrarse en Hacienda como operadoras con bitcoins.
- Llevar un registro interno de las direcciones bitcoin de las que son titulares.
La cantidad de dirección Bitcoin que se puede generar gratuitamente en la Red es inmensa. Sin embargo, esta pequeña lista de empresas que puede tener Hacienda y las listas que tengan cada una de las empresas pueden ayudar por los siguientes motivos:
- La Administración Tributaria podrá identificar los movimientos de capital de las empresas.
- En caso de inspección, Hacienda o la Policía podrá solicitar el registro de las direcciones en las que figura este tipo de activo de la empresa, junto con todos los movimientos que se han realizado.
- Los delincuentes cometen errores y es posible que alguno realice en algún momento alguna transacción hacia alguna de las direcciones identificadas.
Es probable que esta propuesta no sea apreciada por anti-sistemas, anárquicos de Internet y gente que opina que el Bitcoin no debe ser regulado. Desde mi punto de vista como profesional preocupado por la seguridad y la economía, veo la propuesta ajustada a lo que ahora se necesita.
9.- Qué hacer en caso de que creas que has sido infectado por CryptoLocker
Si crees que CryptoLocker te ha cifrado o te está cifrando los ficheros, sigue estos pasos:
- Apaga el ordenador lo más rápidamente que puedas. No lo enciendas.
- Llama a un perito informático. Aconsejo dos: Lorenzo Martínez (de Securízame) y Yago Jesús (de Security by default). Cuéntales todo y déjate asesorar.
- Con el consejo del perito, acude a la Policía o a la Guardia Civil
Si has sido afectado, para el Experimento en Fase 2 necesitamos conocer las direcciones a las que te han hecho pagar. Aunque no te podamos dar ahora más detalles, si quieres colaborar con la investigación envíanosla a través de nuestro formulario de contacto.
10.- Brain, un sistema para desanonimizar Bitcoin y cazar a los delincuentes
Brain es un software creado por NevTrace con una única finalidad: des-anonimizar los pagos realizados a través de la red Bitcoin.
El prototipo Brain analiza los patrones de envío de bitcoins que o bien comienzan con cantidades determinadas o bien están potencialmente relacionadas con direcciones incluidas en una lista negra. Los movimientos particularmente extraños detectados dentro de la cadena de bloques son puestos en relación con todos los demás, desde el comienzo de las transacciones Bitcoin hasta la fecha. Este análisis de los datos aporta información que permite saltarse mixers y otros sistema de ofuscación. Una vez se ha vinculado el inicio del movimiento del dinero con su destino, Brain coteja los resultados con varios millares de fuentes de terceros. El sistema recopila información útil, a través de los hallazgos, que conserva para analizar nuevos pagos.
Brain ha permitido localizar a varias empresas y particulares detrás de los ataques de cryptoloker en España. Gracias a Brain sabemos quiénes son muchos de los sujetos que están recibiendo los pagos, aunque no tenemos la certeza de que sean los que han causado las infecciones. Los resultados han sido puestos en manos de la UIT del Cuerpo Nacional de Policía y del GDT de la Guardia Civil.
Los miembros de NevTrace, creadores de Brain, fueron invitados por la Policía para presentar su software a la Europol, en La Haya, ademas de en congresos de hackers como Navaja Negra, en Albacete. Desde entonces, Brain trabaja a las órdenes de Cuerpos y Fuerzas de Seguridad de varios estados del mundo para detectar receptores de pagos en bitcoin no solo vinculados con el ransomware cryptolocker.
NevTrace está formado por Alberto Gómez Toribio, Jorge Ordovás y Pablo Fdez. Burgueño.
One thought on “Cómo infectar un ordenador con ransomware CryptoLocker”