TorrentLocker, el malware que ha infectado a miles de sistemas de ordenadores alrededor del mundo, tomando información como rehenes a los datos y demandando el pago de un rescate para su devolución. Los ficheros primero fueron cifrados con  AES-256 con CTR (Counter) que consiguió ser descifrado y ahora son cifrados con AES-256-CBC (Cipher-block chaining). Los pagos del rescate han sido automatizados a través de una página de pagos amigable para el usuario, que explica cómo pagar con bitcoins para recibir el software de descifrado.





Se calcula que en Australia ha infectado 9,415 ordenadores y en UK hay 2.300 víctimas.


El gancho siempre ha sido oficina de Correos:

• Correos (Aviso Urgente) en España
• DHL en Austria y Alemania
• Office of State Revenue en Australia
• Auspost en Australia
• Česká pošta en la Republica Checa
• TTNet en Turquía
• Royal Mail en UK (United Kingdom, Inglaterra)
• SDA en Italia

En un nuevo white paper de nivel técnico, el investigador Marc-Étienne Léveillé describe cómo la familia de ransomware TorrentLocker (detectada como Win32/Filecoder.DI en las soluciones de seguridad de ESET, pero cuyos creadores prefieren denominar “Racketeer” o “chantaje”) ha evolucionado desde su primera observación en febrero de 2014.

Con el paso de los meses, TorrentLocker, nombrado porque versiones anteriores del malware establecían una entrada de registro que hace referencia a la aplicación Bit Torrent, se ha vuelto más sofisticado y automatizó sus sistemas. De hecho, en las últimas semanas vimos cómo se comenzaba a propagar en correos en español en un falso aviso de correos.
Por ejemplo, en septiembre, investigadores finlandeses de Nixu Oy detallaron un método por el cual víctimas de TorrentLocker podían recuperar el contenido de los archivos cifrados, sin pagar dinero a los cibercriminales detrás del ataque.

Como era de esperar, una vez que se dieron cuenta de que era posible extraer el flujo de claves, los autores de TorrentLocker lanzaron una nueva versión que cambió su metodología de cifrado, y cerró la puerta a la “trampa” de inmediato.Otro ejemplo es que, al principio, las víctimas tenían que mandar e-mails a los criminales detrás del malware para hacer pagos y pedir las llaves de descifrado. Actualmente, esto ha sido automatizado a través de una página de pagos amigable con el usuario, que explica cómo pagar con bitcoins para recibir el software de descifrado.

Los ficheros primero fueron cifrados con :

•  AES-256 con CTR (Counter) que consiguió ser descifrado junto con  CryptoLocker y CryptoWall  y ahora son cifrados con
•  AES-256-CBC (Cipher-block chaining )

CTR (Counter)
Encryption parallelizable: Yes
Decryption parallelizable: Yes
CBC (Cipher-block chaining)
Encryption parallelizable: No
Decryption parallelizable: Yes

Llave pública RSA (2048 bits)

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyOBVMkkMLK/iHPwiuSfd
X2lhgZH0BqAPoYx/2r87Vluc1BUYqFOKLTiCXwLZ8a5FxqaMWwlbHQgnKquEU2jP
/Dp90QYnpm76QPT2G8SrbbydC7CXbkBTHrvO9OJhMuKsNqHiCir0vaqw4GDebq+4
pvL9cnB221SvK6DEgYfW0A/y/LSMJJoVovqG4IKKYj64AU4vFl9UMxmkv8lkXGyh
Pr01zhQgP2FEMRGqaoiGwRT9BZr/wnqQKjx9jSgEsKsCWcm7WX01YhjklE15+5P2
RYUxlUsprnGZAA6gxcDcr4IxgS/FVf1XhG6lZXK40aoL5nDjFb+3b01YFQegsgOX
bQIDAQAB
-----END PUBLIC KEY-----

Extensiones - Tipos de ficheros cifrados:

3ds 3fr 3pr 7z ab4 ac2 accdb accdb accde accdr accdt acr adb agd1 ai ait al apj
arw asm asp awg backup backupdb bak bdb bgt bik bkp blend bpw c cdf cdr cdr3 cdr4
cdr5 cdr6 cdrw cdx ce1 ce2 cer cfp cgm cib cls cmt cpi cpp cr2 craw crt crw csh
csl css csv dac db db-journal db3 dbf dc2 dcr dcs ddd ddoc ddrw der design dgc
djvu dng doc docm docx dot dotm dotx drf drw dwg dxb erbsql erf exf fdb ffd fff
fh fhd fpx fxg gray grey gry h hbk hpp ibank ibd ibz idx iiq incpas jpeg jpg js
kc2 kdbx kdc kpdx lua mdb mdc mef mfw mmw moneywell mos mpg mrw myd ndd nef nop
nrw ns2 ns3 ns4 nsd nsf nsg nsh nwb nx1 nx2 nyf odb odf odg odm odp ods odt orf
otg oth otp ots ott p12 p7b p7c pat pcd pdf pef pem pfx php pl pot potm potx ppam
pps ppsm ppsx ppt pptm pptx ps psafe3 psd ptx py ra2 raf rar raw rdb rtf rw2 rwl
rwz s3db sas7bdat sav sd0 sd1 sda sdf sldm sldx sql sqlite sqlite3 sqlitedb sr2
srf srw st4 st5 st6 st7 st8 stc std sti stw stx sxc sxd sxg sxi sxm sxw txt wb2
x3f xla xlam xll xlm xls xlsb xlsm xlsx xlt xltm xltx xlw xml ycbcra zip

Pero aunque se ha sofisticado en algunos aspectos, en otros parece menos profesional.

Algunas de las pantallas que muestra TorrentLocker se refieren, en cambio, a CryptoLocker. ¿Es esto vagancia por parte de los creadores, o un intento deliberado de engañar a los usuarios para que busquen información sobre un ransomware no relacionado (aunque igual de notorio)?Además, la banda detrás de TorrentLocker no parece estar interesada en maximizar su potencial conjunto de víctimas atentando contra usuarios de computadoras en todo el mundo:

La siguiente lista de países son el blanco de las campañas maliciosas es notable por sus sorprendentes excepciones -Estados Unidos, por ejemplo, no figura:

• Australia
• Austria
• Canadá
• República Checa
• Italia
• Irlanda
• Francia
• Alemania
• Holanda
• Nueva Zelanda
• España
• Turquía
• Reino Unido

Lo que el white paper de ESET deja en claro, de todas formas, es que las ganancias que se pueden hacer con TorrentLocker son considerables. La investigación indica que aunque solo un 1.45% de las víctimas pagan el rescate (570 de 39.670 sistemas infectados), eso le ha hecho ganar a los criminales entre 292.700 y 585.401 en bitcoins.

Y, según datos obtenidos del Centro de Comando y Control (C&C) de TorrentLocker, la impactante suma de 284.716.813 documentos han sido cifrados hasta la fecha.



Esperemos que una buena proporción de las víctimas tenga acceso a un reciente y actualizado backup, desde el cual pueda restaurar su preciada información.Para conocer los detalles de la más reciente investigación de ESET, los invitamos a leer el whitepaper:

• Descargar el white paper sobre TorrentLocker

 Fuente:
http://www.welivesecurity.com/la-es/2014/12/16/torrentlocker-ransomware-crimen-organizado-eset/