(http://i.imgur.com/cSacfNY.jpg)
Investigando con la colaboración del Google la amenaza del malware por excelencia el ransomware (secuestro de información), muchos son los problemas que trae con el secuestro de archivos o del sistema, cifrando sus contenidos y las múltiples variables que se encuentran en el escenario informático.
Uno de los tantos conocidos es
Locky, que se propaga por medio de correo electrónico, e incluso puede llegar redactado en varios idiomas. Contiene un troyano que si bien hoy es detectado por algunas soluciones de seguridad, aún sigue colándose en usuarios desprevenidos. Y lo más interesante, algunos
downloader como Nemucod (el código malicioso responsable de descargar y ejecutar diversos tipos de malware, se valen de
Locky).
Locky puede ingresar al sistema de la víctima de diversas formas, pero en prácticamente todas necesita de la cooperación del user para la infección. Una de estas formas de infiltración es a través de documentos adjuntos con
macros maliciosas, y que una vez abierto solicita
"habilitar macro" para visualizar el archivo. Ejecutada esta acción el troyano descarga el payload, esto es, el ransomware Locky.
Finalmente, se cifra en contenido de los archivos y se borra asimismo del sistema. Eso sí, deja instrucciones para recuperar los archivos infectados, cambiando el fondo de pantalla con el aviso de rescate, crear un archivo de imagen .bmp y uno de texto .txt que serán los que se abrirán para mostrar las indicaciones para hacer el pago en bitcoins.
CitarLas extensiones que puede cifrar son más de 100, es decir, prácticamente todo lo que un equipo pueda tener almacenado: imágenes .JPG, .PNG o .GIF, bases de datos como .DB, .ODB, .MDB, .SQLITEDB o .DBF , videos como .MP4, .MOV o .FLV, proyectos de programación como .JS, .VBS o .JAVA, comprimidos como .ZIP y muchos más. Todos son cifrados con la extensión ".locky".
A esto súmese, que también puede afectar a los archivos de la red en el caso de dispositivos compartidos, propagándose asimismo.
Los amigos de
We Live, analizan el proceso de infección de Locky hasta llegar al payload y nos dejan un esquema gráfico muy ilustrativo: desde que el user recibe el mail con el adjunto (que puede ser .DOC, .DOCM o .XLS); luego, este documento crea un archivo BAT que a su vez crea otro archivo con código VBScript, para finalmente, entre ambos, descargar la amenaza principal. Toda una maravilla :) de la ingeniería del malware, que también hay que decirlo.
(http://i.imgur.com/ca2SXUG.jpg)
El esquema de infección -y como se dijo antes- se vale de documentos que contienen macros maliciosas; por lo que antes de seguir avanzando hagamos un breve paréntesis para ver qué son y cómo funcionan las mismas.
¿Qué es una macro?Son instrucciones o comandos programados, para automatizar o eliminar tareas repetitivas en aplicaciones ofimáticas.
En palabras de expertos:
Citar"Una macro es un conjunto de instrucciones comúnmente asociado a un documento. Es similar a un script, aunque su naturaleza se encuentra estrictamente ligada a un archivo de un programa específico, como por ejemplo a un documento de un procesador de textos. De esta forma, una macro podría encapsular comportamiento útil para dicho documento, como por ejemplo mostrar contenido dinámico.
Ahora, ¿puede este comportamiento tener fines maliciosos? La respuesta es contundente: sí."
En base a lo dicho, los documentos apócrifos pueden contener virus de macro que son ejecutados al hacer clic en
"habilitar contenido" y en el caso de Locky, se autojecuta el código que dará inicio a la infección como se observa en la imagen siguiente.
(http://i.imgur.com/JykTpCQ.png)
En la próxima imagen y en un análisis más profundo, se observa que permite
Citar"...obtener las macros que realizan la primera parte de la infección. Destacamos entre ellas tres líneas de código en particular, en donde se creará un archivo BAT con el nombre de "ugfdxafff.bat"; luego se observa la función "Write", que escribirá dentro de ese archivo código cifrado en base64, y por último la función "Shell" ejecuta el archivo BAT."
(http://i.imgur.com/SpCAClV.png)
El archivo archivo BAT (
ugfdxafff.bat) tiene como objetivo crear el archivo VBScript [ambos trabajarán en conjunto (o en "equipo" ;D)], pasándole como parámetro una URL
para descargar el payload nombrado como
asddddd.exe.
Por último, el archivo BAT ejecutará el ransomware con el comando
start asddddd.exe y eliminará el VBS, como también se eliminará a sí mismo para remover cualquier tipo de evidencia en el sistema.
Esta concatenación de procesos se puede observar en la siguiente captura:
(http://i.imgur.com/HQ68eUq.png)
Más allá de lo interesante que resulta investigar los procesos del malware, tener las macros deshabilitadas, parece ser una buena idea. Ojos atentos y dedo quieto con los clics!
El post se redactó en base a la lectura de distintas fuentes:
UNAM del departamento informático de México,
Panda Lab, Kaspersky Lab. Las imágenes y las citas pertenecen a
We Live Security.Gabriela
Buen día Gaby.
A mi me paso este ataque en la empresa donde trabajo. Tenia la base de virus desactivada en este equipo principal y el usuario querido debe haber descargado algún archivo de office con macro y chau.. me infecto el ordenador local, 1 servidor y 3 ordenadores mas de usuarios. Creo que de los ransomware que vi este es uno de los mas peligrosos por que se propaga a pesar que tengas el antivirus activo y actualizado como me paso en el servidor y los otros 3 equipos. y no vi por el momento forma de descifrar dichos locky.
Gracias por la data, hace rato que vengo tratando de averiguar como me logre infectar.