Funcionamiento interno del ransomware Cryptolocker

Escrito por Rubén Velasco
Seguridad
0

Los ransomware son, actualmente, el tipo de malware más peligroso que existe para un sistema informático. Este tipo de malware cifra los datos de la víctima pidiendo un rescate económico por ellos o, de lo contrario, el usuario no podrá acceder nunca más a sus datos. En algunas ocasiones, la clave de descifrado es sencilla de obtener y las compañías antivirus te ayudan a ello pero, en otras ocasiones, la única salida es pagar (o restaurar la copia de seguridad de nuestros archivos en caso de tenerla).

¿Cómo es el funcionamiento interno de un ransomware? En un resumen rápido, cuando el malware infecta el equipo comienza a explorar los discos duros buscando determinados archivos (principalmente audio, vídeo, fotografías y documentos). Una vez detectados todos en el sistema, este aplica el cifrado a todos los archivos que ha detectado, mostrando un aviso cuando el proceso de cifrado ha finalizado.

Uno de los ransomware más extendidos en los últimos días es Cryptolocker. Este malware, como hablamos hace unas semanas, pide al usuario el pago de 300 dólares por desbloquear el PC o, de lo contrario, el usuario perderá los datos. Además, el usuario tendrá una cuenta atrás en la que hacer el pago o los datos serán eliminados. Este malware suele llegar a través de correo electrónico malicioso o a través de enlaces web infectados.

Cryplolocker se instala en el equipo de la víctima gracias a una herramienta de malware llamada ZBot. Cuando el malware se instala en el equipo, lo primero que hace es crear una carpeta de inicio aleatoria y oculta por el sistema y envía un pequeño paquete de datos de identificación al servidor en el que quedará registrado el equipo que ha sido infectado.

A continuación el servidor genera un par de claves públicas y privadas RSA 2048 bits y envía al malware únicamente la clave pública, quedando la privada almacenada de forma segura en el servidor. También se envía en este paso una cuenta de bitcoin, aleatoria, que se acaba de generar por el servidor con la identificación del usuario. Esta clave se almacenará en el registro y obtiene el número de cuenta de bitcoin, la dirección remota del servidor y los comandos de control remoto de forma cifrada.

cryptolocker_malware-ransomware_foto_1

Una vez se tiene la clave pública, Cryptolocker genera una clave AES con la que cifrará los archivos y, finalizado este proceso comenzará a mostrar un aviso a los usuarios para que paguen el rescate. Los métodos más comunes de pago son cuentas anónimas de MoneyPay y Bitcoin, siendo esta última la que los piratas de Cryptolocker recomiendan.

Cuando la víctima realiza el pago, una clave privada se envía al ordenador de la víctima, se copia en el registro y comienza el descifrado de los archivos.

Como podemos ver, Cryptolocker es un malware muy complejo y muy peligroso. Debemos tener cuidado con él y realizar siempre copias de seguridad periódicas para evitar cualquier disgusto que nos pueda ocurrir.

Fuente: The Hacker News