“Tengo un trabajo para vos, te cuento un poco más por Gtalk cuando te levantes”.

Eran las 8 de la mañana cuando leí eso, pero mi amigo, a quien le suelo preguntar “¿y vos cuando dormis?” las veces que trasnocho y lo sigo viendo online, tenía algo muy interesante para mi: decenas y decenas de GB encriptados – entre ellos máquinas virtuales que manejaban maquinaria complejísima – pertenecientes a una empresa que estaba por pagar una sucesión de errores y negligencias.

Un virus del tipo Criptolocker (de los que encriptan archivos y la única forma de recuperarlo es pagando una herramienta de desencriptación al creador del malware) puede llevar a una PYME de la tranquilidad habitual al mismísimo infierno.

“Tenemos tus archivos”

Cuando un criptolocker infecta un equipo por lo general comienza a replicarse por toda unidad que encuentra y parecieran estar genialmente diseñados para urgar en las unidades de red. La clave es meterse, infectar y romper todo. Vaya si lo hacen.

Una vez que el archivo avanza con su trabajo maligno, aparecen pantallas avisando el hecho. Varían, pero todas piden un rescate en Bitcoins (de ahí el término “Ramsomware” que significa software de secuestro) y varias instrucciones a seguir para recuperar los archivos.

En este caso el secuestrador había dejado una casilla de e-mail y pedía que el contacto sea a través de un subjet particular.

Mientras tanto, yo contaba con un HD externo de 1TB (leno de archivos de varias terminales y un par de servidores) conectado a una PC donde podía correr escritorio remoto. Tenía VNC y Teamviewer por las dudas. También otro HD externo vacío para copiar los archivos en casos de poder avanzar.

Una vez contactado con el secuestrador, éste envío una “prueba de vida” a través de Sendspace que permitía desencriptar un par de archivos.

El mail fue muy similar a éste:

Decryption tool (password for the archive: 123 ): https://www.sendspace.com/file/archivo

Download it and unpack to any folder. Also program require administrative rules (use administrator account).

Run decrypt.exe .

Copy paste 1st Decrypt password, 2st Decrypt password and 3st Decrypt passwords in decrypt tool 3 fields.

If you have not stop our software – use decryption tool, because the toolwill stop our software before decrypting the files.

This is very important to stop our software service (and dont delete any files in ProgramData folder before stop) because your decrypted files may will be encrypted again.

p.s. when you will start decrypt tool it would seem as if the program hanging, but everything is fine, just wait for the message about successful completion of decrypting and dont touch decrypt window with your mouse.

If you have any questions or troubles in decrypting feel free to contact me.

Thank You!

Una vez que sabíamos que el Desencriptador funcionaba. Se procedió a pagar 11 BTC. Jugados… pero más jugada estaba la empresa.

La respuesta del secuestrador (a esa altura ya me caía bien) fue igual o más simpática. Envío otro archivo igual, pero sin restricciones.

El software es una ventana que parece haber sido programada en Visual Basic. Básicamente lo que hace es escanear todos los archivos y desencriptarlos en masa.

Uno de los tantos avisos de "infección por ramsomware".
Uno de los tantos avisos de “infección por ramsomware”.

Profit for all.

He visto decenas de equipos atacados con criptolockers y he participado en pocos pagos de recompensas. Definitivamente una persona común prefiere perder las fotos de sus vacaciones que pagar un sueldo mínimo pero cuando le toca al equipo de un profesional o a una empresa… la cosa cambia.

El pago de la recompensa varía de un virus a otro. Pero siempre se trata de un pago oneroso. Por mi experiencia debo reconocer que si se paga, se recupera, pero hay que ser muy claro con el cliente… se está negociando con algo parecido a una mafia.

Es por eso que lo mejor que se puede hacer es mantener una política de backups confiable. En lo posible mantener copias de respaldo en medios de “solo lectura” para evitar que un virus con permisos de Administrador escriba todo ¿Blu Ray? Porque nó. También se puede pensar en cosas más complejas también.

Este tipo de virus – que definitivamente son malos – me recuerdan a algunos de los míticos virus de los 80’s, por las implicancias que tienen.

Y vos, ¿tuviste alguna experiencia con Criptolockers?

25 Comentarios

  1. Lamentablemente me paso con algunos clientes, perdieron todo o casi todo…
    Hay varias utilidades para prevenir que se instalen, una de malwarebytes beta salio hace poco y otra de bit defender.

  2. Esta mañana me tocó lidiar con uno… se hace llamar locky. Le pone esa extensión a todos los archivos importantes. Está en español y es más barato que ese, “sólo” te cobran 0,5 BTC… una ganga al lado de los 5BTC que mencionás arriba.

    Ahora viene la parte de renegar como un beduino, porque el virus borra el archivo original y crea una copia encriptada, entonces con un soft de recuperación de archivos borrados se puede recuperar bastante, pero no todo. Por suerte no tocó la base de datos del tango, el cliente es contador. Pero hizo pelota las bases de datos del siap.

    Para colmo de males el tipo tenía un backup en un disco externo… pero estaba enchufado… y lo encriptó también…

  3. Me morfe uno en la empresa que laburo una vez, pero por suerte fue para un solo puesto, tenia back up (uso mis documentos una carpeta en el server).

    Hace 10 dias robaron la empresa quedamos en bolas, ahora estoy re paranoicos, alguna informacion si desde un puesto X pueden entrar al server aunque tenga permisos compartidos solo para una carpeta ? suponemos que si no?

  4. El problema que es uno paga, recupera sus archivos (en el mejor de los casos). ¿Que hacen con esa guita? ¿Los chabones se compran un iphone 6, compran armas, financian terroristas? Yo no pagaría y no lo recomiendo. Borrón y cuenta nueva Saludos.

      • Como usuario final es una cosa, no pongo un mango (tengo backup de todo, revienta algo y saco el disco). Como dueño de empresa que tiene todo su laburo encriptado es otra cosa, cerrar los ojos y poner el $$. ¿Hay casos de gente que haya pagado y los sonaron? Saludos.

  5. Hasta ahora, 3 casos en la oficina con distintas versiones de ransomware y no quisieron pagar rescate.

    El ultimo caso fue con Locky, y me fije que ahora hace una doble encriptacion, o una doble pasada por los archivos. El usuario tenia Dropbox y Google Drive, así que revise la web para restaurar sus archivos a la versión anterior y me encuentro con la sorpresa de que el respaldo también se encuentra encriptado, 5 minutos antes que el archivo final.

    Lamentablemente Drive y Dropbox gratuitos solo guardan el archivo actual y solo 1 version anterior

  6. hola gente, les queria preguntar ya que son tecnicos o algo saben… Sucede que yo leo esto como algo anecdotico (lamentablemente como muchas noticias en esta web tambien) porque en el escritorio uso Linux -un debian stable nomas..- y bueno, la cuestion es:

    No se evita esto no siendo administrador?
    Dejan a sus clientes con cuentas e administrador en windows?
    Me han dicho o he leido que la administracion de usuarios en sistemas windows ha mejorado. Es cierto?

    Ustees sabran che… saludos.

    • No hace falta que sea administrador del equipo para que el ransomware encripte los archivos en una PC infectada

  7. Bajonazo y mucho más efectivo que un simple virus. La pregunta del millon es, por donde entra a la maquina? alguna web porno? algún soft? algún crack, patch, keygen? Porque por mas antivirus y toda la bola, sabemos que sentido común suele ser la mejor prevención.

    En este momento formateando la pc de un cliente que le paso esto mismo. Me deja pensando que tendría que hacer un backup completo de lo imperdible…

    Concuerdo completamente que si pagas, haces que esto se multiplique, pero con que 1 de cada 10.000 pague, ya se hace rentable, y como bien cuenta guille, esta lleno de casos que pierden menos pagando.

    PD: existe chance de desencriptación con algun soft o algo por fuerza bruta?

    • El vector de ataque suele ser el mail. Por ejemplo esta última semana el Locky anduvo a full e infectaba las PC a través de un .zip adjunto en un mail, el cual adentro tenía un .js (JavaScript) que descargaba desde Internet un ejecutable que era el binario que realiza la encripción

  8. En la empresa que laburo nos entró 3 veces un ransomware de estos en los últimos dos años. La última semana nos tocó el Locky, como a muchos. Nunca pagamos y nunca sufrimos una pérdida de información. La realidad es que hay que tener backup de todo. Además de un antivirus de host actualizado, antivirus en el perímetro (en el antispam y en el firewall perimetral) y, quizá lo más importante de todo: educar y concientizar a los usuarios, ya que la gran mayoría de estos bichos ingresan por mail, y si el usuario no abre el adjunto, es dificil que la PC termine infectada.

    Para el usuario común de Windows una solución, además de hacer un backup offline a algún disco externo o algo del estilo, podría ser habilitar el shadow copy (lo ven en la solapa “Versiones Anteriores” en las propiedades de los archivos), lo cual permite que una vez que la máquina este desinfectaba es realizar una restauración rápida y relativamente reciente. Eso si, he visto ransomwares de estos que incluso se meten en el shadow copy y te eliminan esas copias también, muy hdps.

  9. En la notebook de mi prima paso esto y bueno le dije ya fue no da pagarle a este ladri… pero era unas fotos.

    El tema es que no recuerda como entro ese criptolocker, y yo si tengo cuidado pero le aviso a mis familiares que se cuiden de eso.

  10. Yo supe que algunas versiones las pudieron desencriptar con Dr. Web. En otros casos, las mismas empresas antivirus (no en este país, por supuesto) mandaron a la gente a directamente denunciarlo ante la justicia.

  11. Me ha pasado un par de veces el virus llego por mail con un asunto de impuestos a pagar, lo que hice fue : formatear y reinstalar windows, instalar solo los programas necesarios , actualizar todo (parches,programas,etc).

    Crear un usuario con permisos limitados e instalar el programita del malwarebytes.

    Si pagas te expones a demasiado : navegar en deep web, que te estafen y no recuperes nada o por ultimo ser el blanco preferido ya que si pagaste una vez por que no 2 o 3.

  12. Perdonen los empresarios desesperados y los muchachos IT que traspiran la camiseta para arreglar el estropicio, pero yo lo veo como lectora y cinéfila.

    ¡Ramsomware!

    Suena a novela o film de misterio protagonizado por un detective geek y sexy interpretado por Tom Hiddllston, por ejemplo.

    Yo lo vería

  13. Nunca me agarro uno todavía (por suerte) pero lo que si observo es que desde hace maso 2 semanas el antivirus del servidor exchange ha pasado de detectar 7 u 8 amenazas diarias a detectar 60 a 100 por día, todas con asuntos del tipo:

    Order Status #374585
    Your account ID:60677 has been suspended
    FW: Confirmation #955637
    Your order #65923845
    Payment ACCEPTED M-726047
    Payment Declined PIN-571383

    con adjuntos en los mails, por suerte en la empresa no muchos tienen acceso a internet y una vez un usuario abrió uno de esos adjuntos y el muy nabo ejecuto lo que traía, creo que era un .js dentro de un .zip, lo jodido era que estaba en un mail que había pasado por la detección del antivirus a nivel server y a nivel pc de usuario, al rato de ejecutarlo me llega el aviso del server del antivirus porque había bloqueado un ejecutable que intento bajarse solo de internet en la pc de ese usuario, así que creo que me salve por muy poco.

    Mas allá de que tengo copia de todo en cinta diaria (una cinta diferente para cada día) seria un laburo restaurar todo.

  14. Consulta: Si tenés un NAS en la red pero no está mapeado, el programa de back up lo accede directamente con el IP, el virus igual lo accede?

    • Yo tengo una solucion parcial… cada X tiempo la copia se mueve con otro nombre (nombre+fecha+hora+etc) a una particion bajo linux y queda como ro (solo lectura) y se usa una particion (mal llamada cache) como intermediario entre la pc y el nas hasta que se guarda definitivamente.

  15. Me paso, tengo de cliente a un contador, nuestra politica fue… “No negociamos con terroristas…” xD

    Recupere un par de archivos escaneando el disco en busca de archivos borrados, fue una solucion parcial…. pero el garron se lo llevo el contador ya que tuvo que hacer tramites en afip, anses, etc… para recuperar informacion… yo formatee y chau…

  16. Están seguros que dropbox, Onedrive, etc no guarda mas versiones anteriores? Yo tengo shadow copy en los server, hago backup todas las noches a una pc de la red, y a onedrive

  17. A mi me pasó hace un par de semanas.

    En la empresa donde laburo, la chica de recepción, (que es nueva por cierto), abrió uno de estos *.zip y la hizo mierd@ los archivos de la Pc, pasó a la red y arruinó bastantes archivos en PDF, xlsx y docx. Todos pasaron a tener la extensión *.locky

    Luego de desconectar la PC de la red procedí a utilizar el soft Recuva, ya que el Malwarebytes solo los detectó y marcó pero nada pudo hacer. Los archivos fueron vueltos a su formato original pero seguían encriptados. Está demás decir que la empresa no iba a poner un centavo.

    Por suerte, tengo una política de backups aceptable, y pude recuperar los archivos de la red. Los de la PC de recepción, ni a palos.

    Lo qu emás me extraña de todo esto, más allá de la desición de la chica de abrir este archivo, es que el anti spam Trend Micro, lo dejó pasar cual vieja con changuito en la esquina.

    Saludos!

Dejar respuesta

Please enter your comment!
Please enter your name here