El resultado es similar a CrytoLocker o TorrentLocker, los archivos con extensiones como MP4, .PEM, .JPG, .DOC, .CER, .DB entre otros son cifrados por una clave, que hace prácticamente imposible recuperar los archivos. Una vez que el malware terminó de cifrar la información del usuario mostrará por pantalla un cartel de alerta y además cambiará el fondo del escritorio con un mensaje similar al que ven en la siguiente imagen:
El impacto que esto puede tener para una empresa o un usuario que no cuenta con una solución de backup, es capaz de convertirse en un verdadero dolor de cabeza. En reportes anteriores del Laboratorio vimos cómo una empresa de Argentina pagó alrededor de dos mil quinientos dólares para recuperar su información.
Luego de que el usuario probó que puede desencriptar los archivos, los cibercriminales le muestran cómo debe hacer para recuperar su información, en dónde puede conseguir los Bitcoins y la dirección a la cual hacer la transacción.
Otro detalle peculiar de CTB-Locker es que el mensaje que le muestra al usuario está en diferentes idiomas, si el usuario decide verlo en inglés el precio será en dólares, en caso contrario la moneda será en euros. El precio del rescate son 8 bitcoins, al día de hoy alrededor de los 1680 dólares. (Marzo 2017 - 1 bitcoin = 1080€)
Es una realidad que la técnica de encriptación que utiliza CTB-Locker no hace posible la recuperación de los archivos a través del análisis del payload. Sin embargo existen ciertas medidas de seguridad que se recomiendan para usuarios y empresas:
- Si cuentan con una solución de seguridad para servidores de correos habilitar las funcionalidades de filtrado de extensiones posiblemente maliciosas. Esto ayudará a bloquear archivos con extensiones .SCR como el caso de Win32/TrojanDownloader.Elenoocka.A que reportamos en este post
- Evitar abrir adjuntos de dudosa procedencia en correos que no se ha identificado el remitente
- Eliminar los correos o marcarlos como spampara evitar que otros usuarios o empleados de la empresa se vean afectados por estas amenazas
- Mantener actualizadas las soluciones de seguridad para detectar las últimas amenazas que se están propagando
Contrarrestar este tipo de ataques puede no ser una tareas sencilla, y es necesario tomar una postura proactiva, apoyar a la tecnología con educación y por sobre todo estar atentos a los correos que se reciben. Desde el Laboratorio de ESET queremos destacar la colaboración con nuestros distribuidores de Guatemala, Colombia, México y Perú gracias a quienes hemos podido recuperar diferentes variantes que se propagaron por Latinoamérica y entender la metodología que los cibercriminales decidieron utilizar.
Fuente: http://www.welivesecurity.com/la-es/2015/01/20/ctb-locker-ransomware-ataca-nuevo//