This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Nueva técnica en ransomware explicó

Filed Under: Featured, Malware, SophosLabs, Vulnerability

Ransomware es un software malicioso que intenta extorsionar dinero de los usuarios desprevenidos, normalmente mediante el bloqueo fuera de sus máquinas. Esta no es la primera vez (o incluso el segundo) que hemos visto este tipo de malware en los últimos meses, pero últimamente ha habido una tendencia de un tipo más siniestro de ransomware.

En lugar de simplemente emplear trucos para dejarlo fuera de su equipo, cripto-ransomware contiene los archivos (documentos, fotos, música, películas, etc) mediante la encriptación de los rehenes. Esto hace que la remediación mucho más difícil de lo que sólo la eliminación de la infección malicioso, como los archivos también necesitan ser descifrados.

La semana pasada, vimos SophosLabs nuevas muestras ransomware que emplean esta técnica. En la infección, las búsquedas de malware para tipos específicos de archivos (utilizando una lista de más de 110 extensiones de archivo.;.. Doc, jpg, pdf, etc), los cifra y cambia el nombre del archivo ahora ilegible con una extensión de bloqueo.. El mensaje de rescate siguiente se muestra a continuación para el usuario:

Todos los archivos personales (tus fotos, documentos, bases de datos) se han cifrado con una clave muy fuerte.
Puede comprobarlo por ti mismo - sólo tiene que buscar los archivos en todas las carpetas.
No hay posibilidad de descifrar estos archivos sin un programa especial de descifrar.
Nadie te puede ayudar - aunque no trate de encontrar otro método o digas a nadie.
Nosotros podemos ayudarle a resolver esta tarea: enviar su solicitud en este e-mail: blockage@tormail.org
Adjuntar al mensaje de una clave de serie completo se muestra a continuación en el presente ("Cómo descifrar files.txt ') archivo en el escritorio.
Y recuerde: las palabras dañinas o malo a nuestro lado será una razón para ingoring su mensaje y nada se hará.
Sólo podemos descifrar sus archivos!

Como todos sus archivos están encriptados, el malware también llama a casa y transmite una copia de la llave de serie a una de sus órdenes y control de servidores.

Lo peor es que no mienten cuando dicen que sólo ellos pueden descifrar los archivos. De hecho, el malware hace uso de algún ingenioso criptografía de clave pública, que es lo mismo "One-way" (asimétrica) de cifrado que le permite comprar en línea con seguridad y acceder a la banca online.

El malware genera una clave de cifrado única forma aleatoria cada vez que infecta un ordenador, que se utiliza para cifrar los archivos (utilizando el AES-256 "grado militar" algoritmo de cifrado). A continuación, cifra esta utilizando su clave pública.

El resultado de esto se convierte en la clave de serie único que se muestra al usuario.

Desafortunadamente esto significa que sólo alguien con su clave privada puede descifrar la serie para obtener la clave utilizada para cifrar sus archivos. Para intentar recuperar la clave privada requiere de sólo la clave pública solo (RSA 1024 bit) lo más probable es tomar millones de libras de hardware cálculo y el tiempo y probablemente todavía no se terminó en el momento en que me gradué de la Universidad (2 años ' tiempo).

Mientras que la criptografía se utiliza aquí para celebrar sus fotos de las vacaciones de la familia / colección de música retro / cartas de su novia a rescate es muy sofisticado, el nuevo análisis del malware se revela a no ser tan inteligente. De hecho, me atrevería a decir que las muestras que he visto son la obra de un autor de malware amateur.

La mayor parte del código del malware no está lleno o protegido de alguna forma como que he llegado a esperar de cualquier tipo de malware sofisticado. Además, hay varias cadenas muy únicos presentes que no sirven a ningún propósito real - en particular la cadena "Graciliraptor!" Visto en capturas de paquetes de algunas muestras.

Tal vez esto es personaje en línea del autor, o un graffiti al estilo 'tag' tomado del nombre dado a un género de dinosaurio terópodo del Cretáceo temprano, que significa "ladrón elegante". De cualquier manera, hace que la detección de estas muestras de malware mucho más fácil!

Así que la parte realmente preocupante es que si este es realmente el trabajo de un autor de malware wannabe, han podido aprovechar algunas muy inteligente criptográfica para causar estragos en el sistema.

No tienes necesidad de codificar estos algoritmos propios, sino que sólo puede utilizar las bibliotecas de criptografía (API criptográfica de Microsoft o equivalente) ya está presente en su computadora!

El pago del rescate no es recomendable, y ni siquiera garantizan que usted obtenga los archivos descifrados. Para mí, esto sólo se hace hincapié en la importancia de tener al día anti-virus, y copias de seguridad de documentos importantes - por si acaso.

You might like

About the author

Julian Bhardwaj is currently a student at the University of Warwick studying for an undergraduate degree in Discrete Mathematics. As a self confessed crypto-geek, he has a passion for all things security related.