1
fbi-ransomware

CryptoLocker: Un nuevo ransomware que secuestra documentos del usuario

A diferencia de otro tipo de malware, el modelo de negocio de CryptoLocker se basa en el secuestro de los documentos del usuario, pidiendo un rescate por ellos. Panda Security aconseja extremar las precauciones ante emails no esperados y tener un sistema de backup.



Panda Security alerta de la propagación de una nueva familia de ransoms llamada CryptoLocker, que, al igual que el virus de la policía, busca extorsionar a sus víctimas, con la diferencia que, en lugar de pagar para poder recuperar el equipo, exige un pago para recuperar documentos del usuario.

El método de infección que utiliza CrytoLocker es la transmisión por email mediante el uso de ingeniería social, para conseguir que sea el propio usuario quien lo ejecute. La víctima recibe así un correo simulando provenir de una empresa de logística, que lleva adjunto un ZIP. Al abrirlo introduciendo la contraseña que le viene en el email, cree que dentro hay un fichero PDF, y al abrir el falso PDF es cuando ejecuta el troyano, que se instala como residente en el equipo, realizando una copia de seguridad de sí mismo en una ruta del perfil del usuario, creando una entrada en los autoruns para asegurarse la ejecución al reinicio, dos procesos de sí mismo para proteger el proceso original frente a cierres, y cifrando los ficheros en disco.

El troyano genera una clave simétrica aleatoria por cada fichero que va a cifrar, y después cifra la clave aleatoria con un algoritmo asimétrico de clave pública-privada (RSA) y la añade al fichero cifrado. Cuando el troyano ha terminado de cifrar todos los ficheros que tiene a su alcance, muestra un mensaje en el que pide el rescate, dando un tiempo máximo para pagar antes de destruir la clave privada que guarda el autor.

Panda Security aconseja extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos, y tener un sistema de backup de los ficheros críticos. Además, como CryptoLocker se aprovecha de la política de Windows de ocultar las extensiones por defecto, Panda recomienda desactivarla.

Fuente: PC World, España

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *