De los diferentes tipos de malware que exiten hoy en día, supongo que de cara al usuario y a las empresas lo que mas les puede dañar son los troyanos bancarios y los ramsonware. Los primero por el echo de atacar la banca electrónica y ejecutar operaciones en nombre de la persona infectada. Y los segundo por que te “roba” archivos y te pide un rescate por ellos. Hoy vengo ha hablaros de un Ransomware, su nombre es Cryptolocker y lleve ya tiempo atacando a los usuarios.

Método de entrada:

Normalmente los malware suelen ir en correos electrónicos con adjuntos. En estos correos ellos incluyen un mensaje normalmente incluyendo técnicas de ingeniería social en las que instan al usuario a que abra el adjunto del correo. Un ejemplo podría ser un correo de este tipo: Imagen de InfoSec Institute Estos correos de FedEX son ya muy conocidos en casos de infección de malware. Algunos asuntos de correo electrónico que están relacionados con esta campaña.

  • USPS – Your package is available for pickup (Parcel 173145820507)
  • FW: Invoice <random number>
  • ADP payroll: Account Charge Alert
  • Important – attached form
  • FW: Last Month Remit
  • McAfee Always On Protection Reactivation
  • Scanned Image from a Xerox WorkCentre
  • Annual Form – Authorization to Use Privately Owned Vehicle on State Business
  • Fwd: IMG01041_6706015_m.zip
  • My resume
  • New Voicemail Message
  • Important – New Outlook Settings
  • Scan Data
  • New contract agreement.
  • Important Notice – Incoming Money Transfer
  • Notice of underreported income
  • Payment Overdue – Please respond
  • FW: Check copy
  • Payroll Invoice
  • USBANK
  • Symantec Endpoint Protection: Important System Update – requires immediate action

Adjunto del correo.

El adjunto del correo no tiene que contener el malware persé sino que puede ser que sea un dropper que baje el ransomware de Cryptolocker. Esto es debido a que pueden que hayan usado un Dropper sin detección por parte de los AV’s. Imagen de Thehackers News Con esta imagen, queda clara la función del Dropper. Los ransomware normalmente cifran todo el disco duro o buscan ciertas extensiones para cifrar por ejemplo fotografías, que es algo que puede llegar  ha hacer mucho daño, o documentos de office o archivos con ciertos nombres incluso. En el caso de Cryptolocker buscará las siguientes extensiones: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c.

Como veis, no son pocas.

Infección

Cuando quedas infectado por Cryptolocker, esto es lo que nos aparece por pantalla:

process_3

Aquí nos informa de lo que tendremos que hacer si queremos recuperar los archivos.

También nos dejará un archivo de texto con las instrucciones

process_2

En el siguiente artículo, veremos mas detalles de la muestra.