El ransomware (Virus de la Policía) sigue evolucionando peligrosamente

20 de agosto de 2014

El antiguo modelo de negocio del ransomware, también conocido como "virus secuestrador" o "virus de la policía", ya no es suficiente para los cibercriminales. Las nuevas mejoras en Reveton lo hacen todavía más peligroso.

La última generación de Reveton, el infame ransomware o virus secuestrador también conocido como "de la policía", está enfocándose a un mercado todavía más criminal. Los desarrolladores de dicho malware han evolucionado de una simple pantalla de bloqueo a un ladrón muy poderoso de contraseñas y credenciales al añadir la última versión de Pony Stealer. Este módulo afecta a más de 110 aplicaciones y convierte a tu ordenador en "zombi" pasando a formar parte de una botnet. Reveton también puede robar contraseñas de banca online, enfocándose de momento en 17 bancos alemanes y usa sistemas de geolocalización. En todos los casos, Reveton contiene un enlace que lleva a la descarga de un ladrón de passwords adicional. La forma más común de infección es a través de conocidos kits de exploits: FiestaEK, NuclearEK, SweetOrangeEk, etc.

lock_screen

Módulo Pony Stealer

Reveton usa uno de los mejores programas destinados al robo de contraseñas y credenciales que existen hoy en día en el mundo del malware. Los desarrolladores de Pony han realizado un gran trabajo de ingeniería inversa, dando como resultado que pueden desencriptar contraseñas de diversos programas pasándolas a texto plano y por tanto siendo totalmente comprometidas, por muy complicados que estos passwords y sus formatos sean. El software incluye 17 partes principales como credenciales de sistema operativo, clientes FTP, navegadores, programas de e-mail, programas de mensajería instantánea, aplicaciones de póquer online y más de 140 submódulos adicionales. pony_modules_fnal

Módulo Cryto Currency

El módulo Crytpo Currency está destinado a robar contraseñas de los wallets (billeteras digitales) más usados a nivel mundial. El malware puede cerrar estos wallets y suplantar las pantallas de login de los mismos una vez instalado. fake_wallet Lista de wallets comprometidos: *-QT wallets, Armory wallet, Electrum wallet, Multibit wallet, Multidodge wallet, Offspring wallet, BitCoin, BlackCoin, DarkCoin, DodgeCoin, LiteCoin, VertCoin.

Módulo Bancario

Como no podía ser de otra forma, también se incluye un módulo específico para capturar las contraseñas de banca online. Esta lista de bancos está basada en geolocalización, de manera que el programa es capaz de saber en qué país estamos para capturar logins del país específico. La versión que se ha analizado en este artículo incluía a 17 bancos alemanes, y también se sirve tanto del historial del navegador como de las cookies presentes para saber de qué bancos imitar el login. module_banker Lista de bancos afectados (por ahora): bank1saar.de, berliner-bank.de, comdirect.de, commerzbanking.de, cortalconsors.de, deutsche-bank.de, dkb.de, bawagpsk.com, fiducia.de, flessabank.de, gecapital.de, haspa.de, hypovereinsbank.de, norisbank.de, psd-bank.de, postbank.de, sparda.de

Módulo Lockscreen (bloqueo de pantalla)

Esta parte de Reveton también ha sido actualizada. Los autores han dividido el programa en varios hilos, han cambiado la encriptación, se graba el payload en el registro y han vuelto a crear la comunicación con los servidores C&C. registry Reveton también ha incluido otro ladrón de contraseñas proveniente de la familia Papras. Este malware no es tan efectivo como Pony pero contiene una poderos y desarrollada función para deshabilitar y desconectar programas antivirus. papras

Partes misteriosas del malware

Avast entontró 2 hashes md5 fuertemente codificados muy adentro del payload de Reveton. El primero se utiliza para verificar la ID de usuario generada. Si coincide, el sistema no envía información sobre el ordenador infectado. Esto probablemente está destinado a proteger al autor del programa a la hora de hacer pruebas o desarrollos. Desgraciadamente, el cálculo de la ID de usuario es demasiado complejo para poder ser crackeado, ya que se genera a través de un hash basado en el nombre del ordenador, número de serie del disco duro y otros elementos. userid_olly El segundo hash se usa para la verificación de la clave de desactivación (es decir, lo que permitirá quitar el virus una vez pagado el rescate solicitado). Reveton puede ser por tanto detenido si el hash MD5 de la clave insertada es igual que el que está codificado en el programa. Lo llamamos "Hash de la llave maestra de desactivación". unlock_hash

Cómo desinfectar de este virus de la policía

1.- Arranca el ordenador desde un sistema operativo diferente al infectado, a través de un pendrive USB o un CD/DVD.

2.- Busca archivos .lnk sospechosos en la carpeta de Inicio (explorer.lnk, system.lnk, etc.).

3.- Mira las propiedades de dicho archivo .lnk para encontrar la ruta donde está ubicada el binario del malware.

4.- Borra tanto el archivo .lnk como el binario del malware.

5.- Arranca el ordenador, esta vez ya normalmente, y mira qué servicio te da error al arrancar Windows.

6.- Elimina el servicio del sistema.

7.- Haz una búsqueda en el registro de Windows y busca la cadena "ACID", borra las claves que contiene (hex=78,01,…).

8.- Reinicia.

También puedes de manera complementaria intentar buscar un archivo denominado RUNDLL32.EXE-*-F.txt, donde estarán almacenadas las contraseñas que el virus haya podido robar.

Protégete con copias de seguridad habituales

Uno de los grandes olvidados en el mundo de la protección informática es la copia de seguridad habitual de los datos más importantes del ordenador. Hacer un backup de toda la documentación, fotos, etc. que más estimemos debería ser una práctica habitual del usuario medio de ordenadores, es especial si hablamos de máquinas de empresa. De esta manera, nos entre este virus o cualquier otro, siempre tendremos la tranquilidad de que la pérdida puede ser mínima o nula, y siempre podremos recurrir a un formateo del sistema operativo como método más rápido y efectivo a la hora de deshacernos del malware.

Para hacer copias de seguridad efectivas, una de las mejores soluciones es optar por un servicio de backup en la nube como por ejemplo Avast Online Backup.

Conclusión

Como hemos visto, las grandes ganancias obtenidas por los cibercriminales con el sistema clásico de ramsonware (pagar una cantidad de dinero por liberar el ordenador secuestrado) ya no es suficiente para ellos. Ahora han decidido entrar en un negocio todavía más oscuro, ya que el robo de contraseñas relativas a banca y monederos virtuales puede dar grandes beneficios. Además, el robo de otro tipo de passwords (FTP, e-mail, mensajería...) son perfectos para propagar el virus a más gente y construir grandes redes de botnets u ordenadores zombi.

Gracias por utilizar avast! Antivirus y por recomendarlo a tu familia y amigos. Para estar al día de las últimas noticias y concursos, por favor, síguenos en FacebookTwitterGoogle+ e Instagram. Empresarios, echad un vistazo a nuestros productos Avast para empresas.

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram