Techie Blog El blog de noticias, tecnologías y tendencias de E.D.S.I. Trend Argentina

3jul/13Off

Alerta por la propagación del Ransomware “Anti-Child Porn Spam Protection”

En las últimas horas hemos recibido a través de muestro equipo de expertos una gran cantidad de reportes acerca de archivos que han sido cifrados dentro de determinados equipos de la red y que no pueden ser descifrados a menos que se pague un rescate por el mismo.

Desde el reporte de la amenaza, hemos realizado exhaustivas investigaciones acerca de este código malicioso que es presentado al usuario en el equipo afectado como Anti-Child Porn Spam Protection – 2.0 Version .

Una vez que la amenaza ingresa al equipo, el proceso principal de la misma bloquea la pantalla al usuario presentando una falsa pantalla azul de Windows (BSoD) con el siguiente mensaje:

 

A problem has been detected and Windows has been shut down to prevent damage to your computer.

A process or thread crucial to system operation has unexpectedly exited or been terminated.

If this is the first time you've seen this Stop error screen, restart your computer. If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed. If this is a new installation, ask your hardware or software manufacturer for any Windows updates you might need.

If problems continue, disable or remove any newly installed hardware or software. Disable BIOS memory options such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

Technical Information:

*** STOP: 0x000000F4 (0x00000003,0x81BAD8D8,0x81BADA3C,0x80944490)

 

 

 

La pantalla que se detalla más arriba en realidad es falsa y lo único que hace es bloquear el acceso al usuario al escritorio del equipo mientras el Ransomware se prepara para el secuestro de los archivos .

A diferencia de versiones anteriores, la versión actualmente circulando de este malware genera dos claves totalmente aleatorias compuestas por cadenas complejas que rondan entre los 80 a 114 caracteres, que serán luego utilizadas para el proceso de cifrado de los archivos del sistema afectado.

 

 

Ejemplo de las claves generadas aleatoriamente:

 

9DF19AB897351C2A0A0FE18A6A73722EDM66BSAl3jBe2a3K8L275j34525b3&E=4RDP4-9y8Q1j3zDa9G9u3bD04t4dFuEO7M2%4zFT ( 104 caracteres)

 

6B1783B4656C5433B430F2CC28070B4E6^1HDq9JEV1+9L0SFr9(6aDu3rF8Cg6X7gC3F#D07LAxFgAD7&9G1%6S4k4YFzEm7^2g4PF*C%9y2T9 (112 caracteres)

 

Una vez generadas las claves, el malware también genera un ID de infección, el cual será solicitado más adelante para poder reclamar las claves anteriores, previo pago del rescate .

El ID y las claves generadas aleatoriamente y utilizadas para la encripcion de los archivos son enviadas al autor de la amenaza y luego eliminadas del equipo.

Para cifrar el contenido de los archivos, el malware realiza una copia utilizando el algoritmo AES provisto por la herramienta WinRAR, creando de esta forma archivos ejecutables, cifrados, seguros, con un algortimo AES de 128bits. Luego de realizar este proceso, elimina el archivo original del sistema afectado utilizando la herramienta de Sysinternals Sdelete, la cual utiliza el estándar del departamento de defensa de los Estados Unidos (DoD)  DOD 5220.22, el cual establece la eliminación segura de datos, siendo imposible recuperar los mismos una vez eliminados.

Una vez finalizado todo el proceso, los archivos cifrados aparecerán dentro del disco con la siguiente estructura de nombre:

 

 Nombre_de_archivo_original.Ext.(!! to get password email id 1111111 toouremail@gmail.com !!).exe 

En donde:

            1111111: es el ID de infección, el cual es necesario para reclamar la clave de desencripcion.

 

            ourmail@gmail: en esta versión en realidad esarasecinfo@gmail.com, siendo esta la dirección de mail a donde enviar la información para el recupero de los archivos.

 

 

Hasta el momento no es posible recuperar los archivos encriptados, debido al método de cifrado y tamaño de clave utilizada por el Ransomware.

Respecto de la propagación de esta amenaza, hemos detectado que se realiza a través del uso de la vulnerabilidad de escritorio remoto de Microsoft publicada como MS13-029, la cual permite a un atacante la ejecución de código remoto en el equipo.  Una gran cantidad de versiones del sistema operativo Windows son afectadas, las cuales están listadas al final de este documento.

Debido a la amplitud del impacto de esta vulnerabilidad, recomendamos a todos nuestros clientes:

Aplicar el hotfix adecuado para cada sistema operativo en donde se utilice y publique contra Internet el servicio de Microsoft Remote Desktop.

Cambiar el puerto utilizado por este servicio a uno no estándar

Para nuestros clientes que cuenten con la solución de Trend Micro Deep Security, les recomendamos utilizar la regla de Virtual Patching #1005453- RDP ActiveX Control Remote Code Execution Vulnerability (CVE-2013-1296), publicada en nuestra solución el día 9 de Abril de 2013.

Descripción de la regla:

The Remote Desktop ActiveX control in mstscax.dll in Microsoft Remote Desktop Connection Client 6.1 and 7.0 does not properly handle objects in memory, which allows remote attackers to execute arbitrary code via a web page that triggers access to a deleted object, and allows remote RDP servers to execute arbitrary code via unspecified vectors that trigger access to a deleted object, aka "RDP ActiveX Control Remote Code Execution Vulnerability."

 

Para más información acerca de cómo proteger sus servidores físicos y virtuales ante vulnerabilidades utilizando Virtual Patching, les sugerimos ver el siguiente enlace:

http://www.trendmicro.com/us/enterprise/cloud-solutions/deep-security/index.html#what-it-does

Para más información de la vulnerabilidad MS13-029 acceda a http://technet.microsoft.com/es-es/security/bulletin/ms13-029).

Lista de sistemas operativos infectados:

  • Windows 7 Service Pack 1, when used with:

o    Windows 7 Enterprise

o    Windows 7 Professional

o    Windows 7 Ultimate

o    Windows 7 Home Premium

o    Windows 7 Home Basic

  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows 7 Home Premium
  • Windows 7 Home Basic
  • Windows Server 2008 R2 Service Pack 1, when used with:

o    Windows Server 2008 R2 Standard

o    Windows Server 2008 R2 Enterprise

o    Windows Server 2008 R2 Datacenter

  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2, when used with:

o    Windows Server 2008 for Itanium-Based Systems

o    Windows Server 2008 Datacenter

o    Windows Server 2008 Enterprise

o    Windows Server 2008 Standard

o    Windows Web Server 2008

  • Windows Vista Service Pack 2, when used with:

o    Windows Vista Business

o    Windows Vista Enterprise

o    Windows Vista Home Basic

o    Windows Vista Home Premium

o    Windows Vista Starter

o    Windows Vista Ultimate

o    Windows Vista Enterprise 64-bit Edition

o    Windows Vista Home Basic 64-bit Edition

o    Windows Vista Home Premium 64-bit Edition

o    Windows Vista Ultimate 64-bit Edition

o    Windows Vista Business 64-bit Edition

  • Microsoft Windows Server 2003 Service Pack 2, when used with:

o    Microsoft Windows Server 2003, Standard Edition (32-bit x86)

o    Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)

o    Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)

o    Microsoft Windows Server 2003, Web Edition

o    Microsoft Windows Server 2003, Datacenter x64 Edition

o    Microsoft Windows Server 2003, Enterprise x64 Edition

o    Microsoft Windows Server 2003, Standard x64 Edition

o    Microsoft Windows XP Professional x64 Edition

o    Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems

o    Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

  • Microsoft Windows XP Service Pack 3, when used with:

o    Microsoft Windows XP Home Edition

o    Microsoft Windows XP Professional

 


¿Te gustó este artículo?

¡Suscríbete a nuestro feed RSS!

Publicado por Maximiliano Cittadini

Comentarios (0) Trackbacks (0)

Lo sentimos, los comentarios están cerrados por ahora.

Trackbacks deshabilitados.

Arriba ↑