Lo que voy a contar en este post es un caso real, un caso de 'Ransomware' que sufrió una empresa y que afortunadamente terminó bien.
Probablemente algunos de los actos descritos en este post puedan suscitar cierta polémica o enviar un mensaje equivocado, mi intención es contar lo sucedido sin entrar en valoraciones más allá de lo objetivo.
El escenario de la infección era el siguiente: Una empresa en la que cada trabajador tiene su propio PC y un servidor con varias carpetas compartidas a la que tienen acceso todos (lectura y escritura)
En un momento dado los empleados se dan cuenta que los ficheros a los que accedían normalmente en las carpetas compartidas del servidor dejan de estar ahí, no existen, han sido renombrados con la extensión '.nobackup' y las aplicaciones asociadas a ellos (word, reader, etc) no los procesan correctamente. Adicionalmente en cada una de las carpetas aparece un fichero llamado how to decrypt files.txt con un contenido tal que así:
If you are reading this text (read this carefully), it means that your important files (photos, videos,
documents, archives, databases, backups, etc.) which were blocked with the strongest military cifer RSA1024.
No one can`t help you to restore files without our decoder. If you have a backup, you're lucky and smart
administrator.
If you want to restore files send e-mail to savepc@tormail.org with "how to decrypt files.txt" and 1-2
encrypted files less than 1 MB.
You will receive a decrypted samples and our conditions how you`ll get the decoder.
Follow the instructions to send payment. N.B. Remember, we are not scammers.We don`t need your
files.All data will be restored absolutelly. Your guarantee-decrypted samples.
Y junto a eso, una suerte de código que tiene toda la pinta de ser el el resultado de cifrar una clave simétrica con una clave RSA.
Esta familia de virus es relativamente antigua y parece que este ejemplar en cuestión pertenece a la familia 'Rannoh', huelga decir que el antivirus que emplea esa empresa no lo detectó. Hay varias herramientas de diferentes fabricantes de AVs que funcionan con algunas versiones de este virus y consiguen descifrar los ficheros. En este caso ninguna de ellas fue útil.
Para darle un poco más de emoción, cuando se analizó el equipo desde el que partió la infección, no se pudo recuperar una muestra del virus ya que al terminar su 'tarea' se auto-elimina del disco duro. Sucesivos intentos de recuperar una muestra analizando el contenido del HD con un buen número de herramientas forenses fracasaron.
Por lo que pude ver, el cifrado que realiza este virus sobre el fichero no es completo, simplemente cifra la parte inicial del fichero. Con mucho esfuerzo y ganas, es probable que de algunos ficheros se pudiese salvar parte de la información.
Aun así no era una solución válida, así que nos pusimos en contacto con los 'secuestradores'. En muchos foros se lee que no es aconsejable y que es un timo, no obstante, era una vía que estaba ahí y la quisimos explorar.
Siguiendo las instrucciones del rescate, enviamos un fichero de muestra cifrado y el fichero 'how to decrypt files.txt'
Al cabo de dos días, la respuesta:
Ya tenemos oferta final para el rescate: 150 Euros (en el fichero con las instrucciones del rescate hablaban de dólares), si se pagaban a través de la ya desmantelada liberty reserve o 200 Euros si se hacía mediante cupones UKASH.
Estuvimos investigando el cómo hacer el ingreso a través de Liberty Reserve y lo cierto es que, si piensas que LR era un tinglado, te confirmo que sí, apenas solicitaban datos para abrir la cuenta y aceptaban dinero desde múltiples fuentes. Resulta difícil de asumir que algo como LR haya estado funcionando tanto tiempo.
A pesar de la diferencia de precio, decidimos apostar por UKASH por la facilidad de la transacción. UKASH son una suerte de tarjetas pre-pago, compras una tarjeta por una cantidad X y puedes 'pagar' con ella con tan solo decirle a la otra persona el PIN. Se pueden adquirir en muchos establecimientos en España
Una vez enviado el correo con el PIN de UKASH tocó esperar ¿responderán? ¿será un timo?
Respuesta: Sí, si respondieron y enviaron un fichero llamado Decryptor.exe para descifrar los datos.
Aquí se rompe el mito que uno puede leer en muchos sitios: Al menos estos 'secuestradores' sí cumplieron y enviaron el programa que, efectivamente, descifra el contenido.
Pero no todo son buenas noticias, al subir el fichero a VT:
Un buen número de soluciones antivirus lo detectan como un troyano. Para hacer el descifrado se creó un ambiente 'confiable' en una máquina virtual y tan solo se descifraron ficheros de datos, no ejecutables (que también quedan cifrados por este virus).
En mi opinión, si eres un particular y estás en esta tesitura, no me lanzaría a la ventura tu solo, no hay que olvidar que estamos tratando con delincuentes y el programa que nos enviaron para descifrar, aun funcionando, resulta muy poco confiable
Hasta aquí la historia del ciber-rescate, mañana, una de reversing con el fichero 'descifrador'
0 comentarios:
Publicar un comentario