Ataques de cryto-ransomware a Windows 7 y versiones posteriores desechan la compatibilidad con versiones anteriores

Autor: Jasen Sumalapao, Threat Response Engineer

¿Cómo sabes que algo se ha vuelto muy popular? Fácil: cuando empiezan a aparecer en el mercado malas imitaciones. Al parecer, el ransomware, ha llegado a este punto.

Los desarrolladores que están detrás de la nueva familia de ransomware ZCRYPT han desechado o bien el soporte para Windows XP o lo que hicieron mal en su trabajo de creación. Esta nueva familia sólo se dirige a los sistemas con las versiones más recientes de Windows, específicamente de Windows 7 y versiones posteriores. ¿Está ZCRYPT cortando deliberadamente con los sistemas operativos más antiguos o es sólo cuestión de un malware mal escrito?

Crypto-ransomware exclusivo Cuando nos encontramos con ZCRYPT inicialmente parecía ser una amenaza bastante débil. Cifra los archivos del usuario y utiliza la extensión .ZCRYPT como marcador. Es capaz de cifrar los siguientes formatos de archivo:

.zip, .mp4, .avi, .wmv, .swf, .pdf, .sql, .txt, .jpeg, .jpg, .png, .bmp, .psd, .doc, .docx, .rtf, .xls, .xlsx, .odt, .ppt, .pptx, .xml, .cpp, .php, .aspx, .html, .mdb, .3fr, .accdb, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .dwg, .dxg, .eps, .erf, .indd, .kdc, .mdf, .mef, .nrw, .odb, .odp, .ods, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .pst, .ptx, .r3d, .raf, .raw, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .tar, .jsp, .mpeg, .msg, .log, .cgi, .jar, .class, .java, .bak, .pdb, .apk, .sav, .tar.gz, .emlx, .vcf

Intimida con la amenaza habitual de borrar los archivos si la víctima no paga un rescate en un plazo de una semana. El rescate se fija en 1,2 BTC (aproximadamente 500 dólares americanos), con el rescate que sube a 5 BTC (aproximadamente 2.200 dólares) después de cuatro días.

Sin embargo, lo que puede hacer en los sistemas con Windows 7 y versiones posteriores, sólo lo intenta con otros sistemas. Según nuestro análisis, no logra cifrar los archivos correctamente ni muestra la nota de rescate cuando se lanza en una versión anterior de Windows, como Windows XP. El malware llama a una función que no existe en las versiones anteriores de Windows; esto se rompe para los sistemas operativos más antiguos.

Curiosamente, esta familia en particular también trató de difundirse a través de los discos flash USB: instala una copia de sí mismo en las unidades extraíbles. Esto es relativamente inusual en crypto-ransomware. En diciembre de 2013 identificamos una variante CryptoLocker que se comportaba de manera similar. Sin embargo, parece que nunca fue capturado. Los autores de crypto-ransomware parecen estar satisfechos con la distribución de sus productos a través de los medios más comunes: malvHcertising y el spam.

Servidores C&C

El nombre de dominio del servidor de comando y control (C&C) era poiuytrewq.ml, una inversión de qwertyuiop. Esta es la fila superior en un teclado alfabético QWERTY estándar. El dominio de nivel superior .ml está asignado a Mali; registros de nombres de dominio bajo este TLD se entregaron para el arranque libre en abril de 2013. (URL que alojaban variantes de ZCRYPT también fueron alojadas en dominios .ml).

El creador de la amenaza también disfrutó de anonimato libre porque el registro del dominio enmascaraba la identidad real de la persona registrada. El dominio C&C ya está etiquetado como «cancelado, suspendido, denegado o reservado».

Prácticas en la industria

La copia de seguridad sigue siendo la mejor defensa contra el crypto-ransomware; la regla 3-2-1 garantiza a los usuarios que todavía tengan una copia de sus datos incluso si se ven afectados por amenazas similares. Recomendamos encarecidamente no pagar el rescate; esto sólo asegura que la amenaza continuará haciéndose cada vez más y más grande.

Trend Micro dice NO al ransomware. Insistimos, recomendamos a los usuarios hacer caso omiso a las demandas de pago de rescate, ya que esto es el combustible del cibercrimen y promueve una mayor propagación del ransomware.

Las soluciones de Trend Micro

Trend Micro ofrece diferentes soluciones para proteger a grandes empresas, pymes y usuarios domésticos para ayudarles a minimizar el riesgo de verse afectados por crypto-ransomware, como ZCRYPT.

Las empresas pueden beneficiarse de un enfoque multicapa, paso a paso, con el fin de mitigar mejor los riesgos presentados por estas amenazas. Soluciones para el gateway web y el correo electrónico como Trend Micro™ Deep Discovery™ Email Inspector e InterScan™ Web Security impiden que el ransomware alcance a los usuarios. A nivel de endpoint, Trend Micro Smart Protection Suites ofrece varias funciones como monitorización del comportamiento y control de aplicaciones, así como escudo frente a vulnerabilidades reduciendo al mínimo el impacto de esta amenaza. Trend Micro Deep Discovery Inspector detecta y bloquea ransomware en redes, mientras que Trend Micro Deep Security™ detiene el ransomware antes de que alcance a los servidores empresariales, ya sean físicos, virtuales o cloud.

Para las pequeñas empresas, Trend Micro Worry-Free Services Advanced ofrece seguridad en el gateway de correo electrónico basada en la nube a través de Hosted Email Security. Su protección endpoint además ofrece diversas posibilidades como la monitorización del comportamiento y reputación web en tiempo real con el fin de detectar y bloquear el ransomware.

Para los usuarios domésticos, Trend Micro Security 10  proporciona una protección robusta contra el ransomware, mediante el bloqueo de sitios web maliciosos, correos electrónicos y archivos asociados a esta amenaza.

Asimismo, los usuarios pueden aprovechar nuestras herramientas gratuitas como Trend Micro Lock Screen Ransomware Tool, que está diseñado para detectar y eliminar ransomware del bloqueo de pantalla así como Trend Micro Crypto-Ransomware File Decryptor Tool, que puede descifrar ciertas variantes de crypto-ransomware sin que sea necesario pagar el rescate o el uso de la clave de descodificación. Los clientes de TippingPoint estarán protegidos de los ataques que explotan esta vulnerabilidad con el filtro ThreatDV, disponible desde el 31 de mayo:

  • 24733: HTTP: Ransom_ZCRYPT.A

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.