Alerta de Seguridad: CTB-Locker, software malicioso a través de correos electrónicos

Por -

El CCN-CERT alerta de una nueva campaña masiva de ransomwareun tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.” . El ransomware es un software dañino que, tras haber cifrado los documentos del usuario, muestra un mensaje solicitando el pago de una cantidad específica para, supuestamente, recuperar el acceso a todos los ficheros cifrados. Esta campaña está siendo llevada a cabo a través de correos electrónicos que tratan de infectar la máquina con una variante de CTB-Locker.

FUNCIONAMIENTO DE CTB-LOCKER

Si el malware Win32/TrojanDownloader.Elenoocka.A consigue infectar el sistema, a continuación se conecta a una URL remota, con la finalidad de descargar el malware Win32/FileCoder.DA, más conocido como CTB-Locker. Esta familia de ransomware cifra todos los archivos del sistema de manera similar a la que lo hace CryptoLocker. Su principal diferencia se basa en que esta familia de malware utiliza otro algoritmo de cifrado, lo que da origen a su nombre.

El resultado es similar a CryptoLocker o TorrentLocker, resultando cifrados los archivos con extensiones como MP4, .PEM, .JPG, .DOC, .CER, .DB entre otros, algo que hace prácticamente imposible recuperarlos. Una vez que el malware termina de cifrar la información del usuario, mostrará una alerta y además cambiará el fondo del escritorio con un mensaje similar al que se observa en la siguiente imagen:

ctblocker0

Con el fin de asegurarle al usuario que podrá recuperar sus archivos si realiza el pago, los cibercriminales ofrecen una demostración de cómo recuperar algunos archivos a modo de ejemplo. Esto se puede pueden observar en la siguiente captura:

ctblocker1

PAGO DEL RESCATE

Tras haber comprobado que realmente se pueden descifrar los archivos, los cibercriminales muestran los pasos a seguir para recuperar la información, dónde se pueden conseguir bitcoins y la dirección a la cual hacer la transacción:

ctblocker2

Otro detalle peculiar de CTB-Locker es que el mensaje que se le muestra al usuario está en diferentes idiomas, si el usuario decide verlo en inglés el precio será en dólares, en caso contrario la moneda será en euros. El precio del rescate son 8 bitcoins, al día de hoy alrededor de los 1680 dólares.

El correo electrónico adjunta un archivo .ZIP, que contiene un fichero con extensión .SCR que descarga el malware en una carpeta temporal y cifra ficheros de unidades compartidas con el ordenador infectado y muestra un mensaje solicitando el pago para que se pueda llevar a cabo la recuperación.

Los asuntos que se han estado utilizando hasta ahora en estos correos electrónicos son:

  • Fax from RAMP Industries Ltd
  • [Fax server]= +07955-168045
  • [Fax server] : LPY.5705BBC7.1118
  • New incoming fax, NB-112420319-8448
  • [Operational Support Ltd] Fax transmission=U2W9MABD921532EC5

Uno de los indicativos de que tu  equipos pudiera estar comprometido es encontrar archivos ofimáticos (.DOC, .XLS) con una extensión adicional con caracteres aleatorios. En caso de tener un Servidor de correos, se recomienda filtrar en los dispositivos cortafuegos y proxy web las siguientes direcciones IP y dominios identificados en la actividad dañina:

  • 46.19.37.108
  • 82.130.26.27
  • 192.251.226.206
  • ip.telice.com
  • tzsvejrzduo52siy.tor2web.fi
  • tzsvejrzduo52siy.tor2web.blutmagie.de
Walddy Lina Polanco
Walddy Lina Polanco

Periodista, Community Mánager, Locutora, Corresponsal de Tecnobitt en República Dominicana, Mujer emprendedora, siempre activa en las redes sociales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *