Ransomware: un poco de historia

Ransomware: un poco de historia

Al igual que las soluciones informaticas, los virus ransomware tambien fueron mejorando sus metodos para ingresar al sistema sin ser detectados o eliminados hasta que ya infectaron todos tus archivos.

Por esta razon es importante saber como nacieron estos virus para tener idea de su comportamiento y como prevenirlos.

A continuacion un poco de informacion sobre los primeros Ransomware, que inspiraron la creacion de los virus mas recientes.

 

Reveton

En 1989 se comenzó a diseminar un ransomware llamado Reveton.Estaba basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde reside la víctima. Por este funcionamiento se lo comenzó a nombrar como Trojan cop, o ‘troyano de la policía’, debido a que alegaba que el computador había sido utilizado para actividades ilícitas, tales como descargar software pirata o pornografía infantil. El troyano desplega una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarla, mediante el pago de un vale a una cuenta anónima como puede ser Ukash o Paysafecard.

Con el objetivo de hacer creer a la víctima que su computador está siendo monitoreado por la ley es que se muestra la dirección IP del computador en la pantalla como así también se puede desplegar material de archivo simulando que la cámara web del computador está filmando a la víctima.

A principios del año 2012 comenzó su expansión por varios países de Europa, según el país podría variar el logo referente a las Fuerzas de la Ley referentes a cada país. Por ejemplo en el Reino Unido contenía el logo del Servicio de Policía Metropolitana, debido a estos sucesos la Policía Metropolitana envió un comunicado informando que bajo ningún concepto ellos bloquearían un computador ni siquiera como parte de una investigación.

En mayo 2012, Trend Micro descubrió las variaciones de este malware para los Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo en América del Norte. En agosto 2012, se comenzó a utilizar el logo del FBI para reclamar una fianza de 200 dólares a pagar mediante una tarjeta de aMoneyPak a los propietarios de computadores infectados. En febrero 2013, un ciudadano ruso fue arrestado en Dubái por autoridades españolas debido a su conexión con la red criminal que había estado usando Reventon, a este ciudadano se le sumaron otras diez personas con cargos por lavado de dinero.

En agosto de 2014, Avast reportó nuevas variantes de Reventon, donde se distribuía software malicioso con el fin de robar contraseñas.

Cryptolocker

En septiembre de 2013 hizo su reaparición el ransomware basado en el cifrado de archivos también conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de un tipo de extensión específica. El virus elimina la clave privada a través del pago de un bitcoin o un bono prepago en efectivo dentro de los tres días luego de la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil reparar la infección de un sistema.

En caso de que el pago se retrase más allá de los tres días el precio incrementa a 10 bitcoins, lo que equivalía, aproximadamente, a 2300 dólares, en noviembre 2013.

CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS, tal cual fue anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2 de junio de 2014.

El Departamento de Justicia emitió una acusación en contra del ciberdelincuente ruso Evgeniy Bogachev (Евгений Богачев) alegando su participación en la red GameoverZeuS. Se estima que al menos tres millones de dólares se cobraron hasta que el malware fue dado de baja.

CryptoLocker.F y TorrentLocker


En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos en Australia, denominados CryptoWall y CryptoLocker. Las infecciones se propagaban a través de una cuenta falsa del correo australiano la cual enviaba un correo electrónico notificando entregas fallidas de paquetes. De este modo se evadía el chequeo del correo en los filtros de antispam y conseguía que llegasen a los destinatarios. Esta variante requería que los usuarios ingresaran en una página web y, previa comprobación mediante un código CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware en el correo o en los enlaces insertados.

Symantec determinó la aparición de nuevas variantes conocidas como CryptoLocker.F, el cual no tenía ninguna relación al original debido a sus diferencias en el funcionamiento. La Corporación Australiana de Broadcasting fue víctima de estos malware, la cual, durante media hora, interrumpió su programa de noticias ABC News 24 y tuvo que trasladarse aa los estudios de Melbourne y abandonar las computadoras pertenecientes al estudio de Sídney debido a CryptoWall.

TorrentLocker es otro tipo de infección con un defecto ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado paso a ser trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y 11 700 en Turquía.

CryptoWall


CryptoWall es una variedad de ransomware que surgió a principios de 2014 bajo el nombre de CryptoDefense dirigida a los sistemas operativos Microsoft Windows. Se propaga a través de correo electrónico con suplantación de identidad, en el cual se utiliza software de explotación como Fiesta o Magnitud para tomar el control del sistema, cifrar archivos y así pedir el pago del rescate del computador. El rango de precios se encuentra entre los 500 $ y 1000 $.

En marzo de 2014, José Vildoza, un programador argentino, desarrolló una herramienta para recuperar los archivos de las víctimas de manera gratuita. La recuperación de archivos fue posible gracias a una falla en el programa malicioso por el cual las claves de cifrado quedaban guardadas en el equipo afectado. 4 5

Cuando los autores se percataron del error, actualizaron el criptovirus nombrándolo CryptoWall, el mismo pasó por distintas actualizaciones hasta llegar a la versión 3.0.

CryptoWall 3.0 ha sido reportado desde enero 2015 como una infección que está surgiendo donde hackers rusos se encuentran detrás de esta extorsión.

TeslaCrypt


TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave maestra para el descifrado de los ficheros atacados es pública. Existe una herramienta gratuita de la empresa ESET que permite realizar este trabajo.6 .

 

Para saber mas sobre los Virus mas actuales y como prevenirlos, dale Like a nuestras redes sociales.

Mail: contacto@opensa.com.ar

Facebook: https://www.facebook.com/opencomputacion/

Twitter: https://twitter.com/

ABONOS DE SOPORTE
TÉCNICO

Reparación de PCs, servidores,
notebooks y otros dispositivos móviles...

ADMINISTRACIÓN DE SERVIDORES
VIRTUALIZACIÓN

Relevamiento, instalación de Software, VPN, Armado de Servidores de Archivos con Software Libre o Licenciado...

IMPLEMENTACIÓN
GLPI

Herramienta Open Source que permite administrar todo el parque informático de una empresa.


SOCIOS


NUESTROS PRINCIPALES CLIENTES