sábado, 30 de mayo de 2015

Locker es el primer ransomware que espera instrucciones para activarse

El ransomware conocido como Locker tiene una característica que le permite permanecer en estado latente hasta que es activado por parte de los atacantes. Se estima que algunos de los ordenadores infectados se infectaron varios meses antes de que el ataque fue lanzado el lunes, 25 de mayo,





Locker es un ransomware muy parecido a CryptoLocker que cifra los documentos personales que se encuentran en el ordenador de la víctima utilizando la clave RSA-2048 (algoritmo de cifrado AES CBC de 256 bits). Locker continuación, muestra un mensaje para descifrar los datos en caso de pago de 0,1 BTC (alrededor de $ 25 USD) si se hace dentro de 96 horas, de lo contrario serán destruidos los datos.

Hay diferentes números de versión del software malicioso Locker: v1.7 Locker, Locker v5.52, v3.30 Locker, Locker v4.55, v4.81 Locker o Locker v2.60, sin embargo es el mismo ransomware solamente con diferentes números de versión .

Una vez activado el ransomware Locker cifra los archivos exigiendo un rescate de 0,1 Bitcoin por restaurar el acceso de los usuarios a los datos.

El componente dormido es una completa novedad.


El ransomware Locker es una infección de computadoras que se ejecuta silenciosamente en el ordenador de la víctima hasta que se activó el 25 de mayo de medianoche, hora local, en cuyo punto se convirtió en activo.

Una vez activo, que comenzará a cifrar los archivos de datos en el ordenador con lo que parece ser el cifrado RSA. El cifrado de los archivos de datos no va a cambiar la extensión del archivo. Por lo tanto, la única manera de determinar si el archivo está cifrado es tratando de abrirlo y vemos si el archivo está dañado o noes  utilizable.

Después de que el ransomware Locker cifra sus datos se pone a borrar sus instantáneas de volumen para luego mostrar la interfaz Locker. Esta interfaz se titulará Locker y luego un número de versión al azar. Este número de versión no parece tener ningún significado. Algunos títulos son ejemplo v1.7 Locker, Taquilla v3.5.3, Locker V2.16 y Locker v5.52. Esta pantalla Locker le dará información sobre cómo pagar el rescate, su dirección bitcoin única para enviar el rescate a una lista de archivos cifrados, y una página para comprobar el estado de su pago.





Cabe señalar que esta infección sólo borra las instantáneas de volumen para la unidad C: \. Por lo tanto, si almacena los datos en otras unidades, puede utilizar las instantáneas de volumen para restaurar los datos. También hay informes de que la infección no siempre es capaz de borrar cualquier instantáneas de volumen, por lo que es seguro que se aconseja que al menos intenta restaurar sus archivos utilizando Shadow Explorer.


El ransomware tendrá también una advertencia de miedo en la parte inferior de la interfaz de casillero que indica:


Advertencia cualquier intento de eliminar el daño o incluso investigar el software Locker conducirá a la destrucción inmediata de su clave privada en nuestro servidor!
Por favor, no se preocupe acerca de este mensaje. Esto es sólo un método para que te asuste a la hora pagar el rescate.

Si usted decide pagar el rescate, que debe evitarse siempre que sea posible, una vez que el pago se ha confirmado la ransomware descargará la clave privada y descifrar automáticamente sus archivos.

Si usted planea pagar el rescate, entonces no debes limpiar el ordenador de la infección. Esto es porque una vez que se haga el pago y sea confirmado, el programa descargará la clave privada y usarla para descifrar los archivos. Si elimina el malware, entonces esto no será posible.


Detalles Técnicos de la infección

Información Técnica

El proceso exacto de cómo se instala el ransomware Locker es actualmente desconocido. Lo que sí sabemos es que hay una serie de servicios de Windows que se utilizan para instalar Locker en el equipo y cifrar los archivos. En algún momento un gotero se instalará en la carpeta C: \ Windows \ System32 o C: \ Windows \ Syswow64 y utiliza un nombre de archivo aleatorio como twitslabiasends.exe. Este archivo se instala como un servicio y cuando comenzó creará el servicio Steg en C: \ Datos de programa \ Steg \ steg.exe. El servicio steg entonces instalar Tor en C: \ Datos de programa \ Tor y crear otro llamado servicio llamado LDR. El servicio LDR está asociado con el directorio C: \ ProgramData \ rkcl \ ldr.exe y en última instancia, poner en marcha el programa rkcl.exe que muestra la interfaz Locker.

El cliente TOR se utiliza para comunicarse con el servidor TOR Mando y Control ubicado en jmslfo4unv4qqdk3.onion.

Cuando se cifran los archivos de datos, los tipos de archivos conocidos que se dirige son:


3fr,accdb,ai,arw,bay,cdr,cer,cr2,crt,crw,dbf,dcr,der,dng,doc,docm,docx,dwg,dxf,dxg,eps,erf,indd,jpe,jpg,kdc,mdb,mdf,mef,mrw,nef,nrw,odb,odm,odp,ods,odt,orf,p12,p7b,p7c,pdd,pef,pem,pfx,ppt,pptm,pptx,psd,pst,ptx,r3d,raf,raw,rtf,rw2,rwl,srf,srw,wb2,wpd,wps,xlk,xls,xlsb,xlsm,xlsx

Estos archivos estarán cifrados, pero no van a tener sus extensiones cambiadas. Como se determinan más extensiones, se añadiran a la lista.

Por último, la instalación también borrará todos instantáneas de volumen de modo que usted no puede utilizarlos para restaurar los archivos. El comando utilizado para eliminar las instantáneas de volumen es:


vssadmin.exe delete shadows /for=C: /all /quiet

Durante el proceso de instalación, Locker comprobará si el ordenador es una máquina virtual VirtualBox o VMware y terminará el proceso si se detecta. También buscará los siguientes procesos y si se encuentran, finaliza el proceso de instalación:


wireshark,fiddler,netmon,procexp,processhacker,anvir,cain,nwinvestigatorpe,uninstalltool,regshot,installwatch,inctrl5,installspy,systracer,whatchanged,trackwinstall

En este punto, el ransomware Locker sólo apuntar instantáneas de volumen en la unidad C: \. Así que si hay instantáneas de volumen presentes en otras unidades, entonces puede ser posible utilizarlos para restaurar los archivos. Además, no es raro que estos tipos de infecciones a veces no pueda eliminar adecuadamente instantáneas de volumen, por lo que siempre es aconsejable tratar de restaurar a partir de ellos.

Por último, aunque rkcl.exe está ejecutando se sondeará continuamente www.blockchain.info para ver si el pago se ha hecho. Cuando se confirma que se hizo un pago se descargará la clave de descifrado privada y guardarlo en la carpeta C: \ Datos de programa \ rkcl \ priv.key archivo y luego descifrar los archivos.

A continuación se muestra la lista de archivos de datos que se crean Locker y almacenan en C: \ Datos de programa \ rkcl \:


data.aa0 - Este archivo contiene una lista de los archivos cifrados.

data.aa1 - propósito Desconocido

dirección bitcoin única La víctima - data.aa6

data.aa7 - Una clave RSA similar a:



rvSUBZItCXDmeBBu01Imy811u41pOSTRDn9+6FpsEvXXfoBrcLgBd5ommgeT5jFRmY1/4vvsd+uXTUOG9FPBtbx1ySB9cv6/+5dU8v4SZTFIkCBIb5nXvYNzmm/lBB5OXOr6B8dkjyEr94LvUUg4B4XyFRjjjoXSUXX6ND0vbt1knN6/mBSIfkvv7XTlS5IBmbxB149t79mFcr9nu1tS9edI6s+sIUB14jFumf5xob1YG5UXOSntBDgkuIso+JXrXvB1ze4Bc7Ec1711Bmy7rfXScxpxXFb7rByZukBN5IomrY+9rTpyC4Df+pvJz/osBS0kSBS+BvIdETT/nKmIYm==ImIB


data.aa8 - Contiene el número de versión de la interfaz gráfica Locker.

data.aa9 - La fecha del ransomware hizo activo

data.aa11 - propósito Desconocido

data.aa12 - propósito Desconocido

priv.key - Este archivo contiene la clave de descifrado privada que se puede utilizar para descifrar los archivos. Sólo aparece después de pagar el rescate.


A continuación se presentan las imágenes de la interfaz Locker ransomware:




Fuentes:
http://www.scmagazine.com/alert-warns-it-managers-of-locker-ransomware/article/416995/
http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/

No hay comentarios:

Publicar un comentario