PandaLabs ha detectado nueva variante de ransomware conocido como TorrentLocker o CryptoLocker Trj/RansomCrypt.B. La neuva variante bautizada como CTB-Locker aka Citroni, la principal diferencia es que demuestra que, si pagas, puedes recuperar todos los ficheros cifrados. La otra novedad es que incluye nuevas traducciones en Holandés e Italiano.

Análisis del ransomware TorrentLocker

Alerta por infecciones masivas por e-mail falso de un Aviso de "Correos"

TorrentLocker es un programa ransomware archivo de cifrado que fue lanzado a finales de agosto 2014 que se dirige a todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8. Una vez que haya sido infectado con TorrentLocker va a escanear su ordenador para buscar archivos de datos y cifrarlos utilizando un cifrado AES para que luego ya no son capaces de ser abiertos

 

Este tipo de malware suele llegar por correo electrónico haciendo creer a la víctima que es un correo legítimo para que lo ejecute. Una vez ejecutado cifra imágenes y documentos que encuentre en el equipo y nos cambia el fondo de escritorio por la siguiente imagen. Además, crea un documento de texto con la misma información.

 ¿Qué es CTB-Locker o Critroni?

CTB-Locker (Curve-Tor-Bitcoin Locker), también conocido como Critroni, es un ransomware que, luego de infectar el sistema, cifra los archivos del mismo. La primera versión fue lanzada en julio de 2014 y está dirigido a todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.

“CTB” son las siglas de las 3 tecnologías que sustentan este programa: ‘Curve’ (por la criptografía de curva elíptica), ‘TOR’ y ‘Bitcoin’:

La criptografía de curva elíptica es la usada para cifrar los archivos de los usuarios: su fortaleza hace virtualmente imposible desbloquear el acceso a los archivos sin pagar ‘el rescate’.

Citroni - Curve-Tor-Bitcoin (CTB)

 A raiz de monitorizar la muestra de un fichero con extension .SCR hemos recibido el codificado de ficheros de todos los ficheros de datos y el aviso en pantalla de la existencia del que se hace llamar CTB-LOCKER, que cambia en cada infección y hemos visto que codifica ficheros ZIP, TXT, JPG, etc, ofreciendo una pantalla de informacion del mismo en el ordenador, que ofrece informacion de los ficheros que se han cifrado y si esta presente, es señal de que el virus persiste


 Después nos salta la siguiente pantalla indicándonos que paguemos antes del tiempo indicado. Si no se paga en ese tiempo suelen incrementar el valor por descifrarlos


 Si pinchamos en siguiente, aparece otra ventana diciéndonos que, si pagamos, descifran los ficheros.

Para demostrarlo y que estemos seguros de que esto es así, liberan esos 5 documentos.

¿Cómo reconocer CTB-Locker?

• Este malware viene en un correo electrónico con un fichero adjunto. Es un fichero de Word, con extensión .doc ó .rtf, o un fichero comprimido (.zip) que contiene dentro un fichero con extensión .scr.
• Algunas variantes, además de cifrar los ficheros del equipo infectado, roban la libreta de direcciones para lograr nuevas víctimas a quién enviar estos mensajes maliciosos. Para empeorar todo, falsifica la dirección del remitente. Así, es probable que la dirección que se muestra en el correo sea la de uno de nuestros contactos.
• Puedes encontrar ejemplos de este tipo de emails aquí.

Mensajes en español - Crypt0L0cker

En la nueva oleada de ransomware CTB-Locker detectada durante esta semana el procedimiento utilizado por los delincuentes para infectar a los sistemas de los usuarios ha sido el mismo que en la ocasión anterior. Es decir, el envío masivo de correos electrónicos (esta vez en español) utilizando la información de contacto de una compañía de suministro de agua ubicada en Fuerteventura, en la provincia de Las Palmas (Islas Canarias, España.

Como en casos anteriores también podemos ver un fichero adjunto con la extensión .cab.

El uso de esta extensión no es trivial, ya que se trata del formato nativo de ficheros comprimidos que utiliza Windows y, al no tratarse de un ejecutable ni de un formato de fichero comprimido que sea especialmente conocido (como los .zip o .rar) es muy probable que los usuarios bajen la guardia y sean más propensos a abrirlo.

Algunas variantes cifran los archivos con la extensión .encrypted.

CTB Locker ransomware

Las nuevas variantes del CTB Locker ransomware cifran los archivos con una  exntesión aleatoria. Renombrarn todos los ficheros (pdf, excel, etc) Todos los archivos tienen la misma extensión.

¿Cómo restaurar archivos cifrados por CTB-Locker?

Método 1: copias de seguridad

El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?

Método 2: Software de recuperación de archivos

Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.

Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)

Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.

¿Cómo restaurar archivos cifrados por CTB-Locker con instantáneas de volumen?

Si se encuentra activada la opción "Restaurar sistema" del equipo, Windows crea copias instantáneas del sistema (Shadow Copy). Esta opción está disponible desde Windows XP Service Pack 2 en adelante.
Estos snapshots permiten restaurar una versión anterior de los archivos, antes de que fueran cifrados. Sin embargo, los archivos recuperados seguramente no serán la última versión del archivo.

Existen dos métodos que pueden utilizarse para restaurar archivos y carpetas desde el Volume Shadow Copy. El primer método es usar las funciones nativas de Windows y el segundo método es utilizar la aplicación gratuita Shadow Explorer. No hace daño probar ambos métodos y ver qué cual funciona mejor.

Para restaurar archivos individuales se puede hacer clic derecho sobre el archivo, ir a propiedades y seleccionar la versión anterior que se desea recuperar.


Click con el botón derecho en cualquier archivo cifrado o carpeta entera y click en "EXPORT..."



Fuentes:
http://www.pandasecurity.com/spain/mediacenter/malware/atencion-nueva-variante-de-ransomware/
http://www.zonavirus.com/noticias/2015/otra-historia-para-no-dormir-el-nuevo-cryptolocker-ctb-locker.asp
http://blog.trendmicro.com/trendlabs-security-intelligence/ctb-locker-ransomware-includes-freemium-feature-extends-deadline/
http://seguinfo.blogspot.com.es/2015/01/guia-sobre-ctb-locker-y-ii.html

Utilidades para eliminar ransomware sin tener que pagar rescate

•  Trojan-Ransom.Win32.Scraper (TorLocker) -->  ScraperDecryptor.zip
•  CoinVault --> decryption application 

Otras soluciones

Herramienta de Kaspersky para desencriptar
https://noransom.kaspersky.com/

DecryptoLocker.exe
https://www.decryptcryptolocker.com/Decryptolocker.exe