El ransomware de Bitcoin se propaga ahora mediante campañas de spam

Las empresas de seguridad McAfee Labs y Symantec han emitido advertencias de que un tipo de ransomware que exige bitcoins, CTB-Locker, ahora se está propagando a través de campañas de spam.

El malware, cuyo nombre significa "Curve Tor Bitcoin Locker", se identificó por primera vez el año pasado. Sin embargo, la distribución de spam parece ser un desarrollo relativamente nuevo.

McAfee publicó suúltimo avisoLa semana pasada, se describió CTB-Locker como un tipo de ransomware que cifra los archivos en el ordenador objetivo. La evidencia anecdótica sugiere que los archivos de imagen .jpg son un objetivo frecuente. La víctima debe pagar un rescate para descifrarlos.

Symantec dijo en un blog reciente

que el proceso de lidiar con el malware Cripto es “particularmente desagradable de manejar”.

Cómo funciona

Tras la instalación, CTB-Locker inyecta código malicioso en el archivo 'svchost.exe', creando una tarea programada para mover y cifrar archivos.

El malware cifra los archivos comprometidos mediante cifrado de curva elíptica, que parece ser equivalente al cifrado RSA con una clave de 3.072 BIT .

Una vez completado el cifrado, el usuario es informado del ataque mediante un mensaje de rescate emergente.

El mensaje muestra una cuenta regresiva de 96 horas. Si el usuario no paga el rescate en Bitcoin en ese plazo, la clave de descifrado se destruye y los archivos permanecen cifrados permanentemente.

La ventana emergente permite al usuario ver la lista de archivos cifrados, junto con información sobre cómo realizar un pago y obtener el código de descifrado.

Vectores de detección, infección y propagación

McAfee detecta CTB-Locker con tres nombres diferentes: BackDoor-FCKQ, Downloader-FAMV e Injector-FMZ. Symantec identifica la carga útil final como Trojan.Cryptolocker.E.

El malware se propaga mediante campañas de spam, como un archivo .zip dentro de otro archivo .zip. Este archivo comprimido contiene el descargador de CTB-Locker.

Hasta ahora, los investigadores han descubierto los siguientes nombres utilizados para almacenar el descargador:

• malformado.zip
• plenitud.zip
• consultas.zip
• simoniac.zip
• faltboat.zip
• incurablemente.zip
• cargas útiles.zip
• dessiatine.zip

Además de las prácticas de seguridad estándar (por ejemplo: no abrir archivos .zip de fuentes no confiables), McAfee ha publicado una serie de recomendaciones para mitigar la amenaza utilizando productos McAfee.

El blog de Symantec también ofrece información útil sobre CTB-Locker para los usuarios de productos de seguridad de Symantec.

Si las víctimas no están dispuestas o no pueden pagar el rescate, prácticamente no hay forma de recuperar los archivos cifrados. La mejor manera de reducir el impacto de un posible ataque de ransomware Cripto es realizar copias de seguridad de los archivos valiosos con regularidad.

Ventana emergente de CTB-Lockerimagen vía Symantec;Imagen de spamvía Shutterstock.