CryptoFortress: nuevo ransomware similar a TorrentLocker pero a la vez muy diferente
La semana pasada, el conocido investigador (y todo un referente mundial en el análisis de diferentes variantes de ransomware) Kafeine, publicó un artículo en su blog sobre un ransomware que se distribuía utilizando el exploit kit Nuclear Pack, y que es identificado como “CryptoFortress”.
Sin embargo, el mensaje que exige un rescate por la información cifrada y la web de pago son idénticas a las de otro conocido ransomware: TorrentLocker, analizado anteriormente en este blog.
Diferencias notables
Después de analizarlo un poco más descubrimos que, de hecho, las dos amenazas son muy diferentes. Parece que el grupo detrás del ransomware CryptoFortress ha robado las plantillas HTML, incluyendo su CSS. El código y el engaño son en realidad bastante diferentes y para comprobarlo veamos a continuación una tabla con sus similitudes y diferencias:
| TorrentLocker | CryptoFortress | |
| Propagación | Spam | Exploit kit |
| Cifrado | AES-256 CBC | AES-256 ECB |
| Dirección C&C fija | Sí | No |
| Ubicación de página de rescate | Tomada del C&C | Incluida en el malware |
| Ubicación de página de pago | Direccionamiento .Onion (pero mismo servidor que la dirección C&C fija) | Direccionamiento .Onion |
| Llave de cifrado AES | RSA-1024 | RSA-1024 |
| Librería criptográfica | LibTomCrypt | Microsoft CryptoAPI |
| Porción de archivos cifrados | 2 Mb al comienzo del archivo | El primer 50% del archivo, hasta 5 Mb |
| Pago | Bitcoin (cantidad variable) | 1.0 Bitcoin |
Y a continuación unas capturas de pantalla con las webs que aparecen en un equipo infectado solicitando el pago del rescate por los ficheros cifrados.
Página de rescate CryptoFortress
Página de rescate TorrentLocker
Diferencias entre las páginas HTML
El viernes pasado, Renaud Tabary de Lexsi publicó un completo análisis de este nuevo ransomware. Investigadores de ESET analizaron de forma independiente las muestras de CryptoFortress antes de que Lexsi publicara los detalles, y los detalles técnicos descritos en el artículo coinciden con nuestros hallazgos.
La telemetría de ESET también muestra que la campaña de TorrentLocker todavía se está propagando a través de mensajes de spam. Ambas campañas corren en paralelo.
Muestra analizada
| SHA-1 | Detección de ESET |
| d7085e1d96c34d6d1e3119202ab7edc95fd6f304 | Win32/Kryptik.DAPB |
Llave pública de CryptoFortress
—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDmeXVlPGxKoOyvZgLUoyDdzPEH
8D6gKlAdZVKmbv2RTjjTAcyOY/40zloPX+iJupuvwO1B/yXlsHZD8y0x/jv7v6ML
jHxetmZxUjqv9gLQJE8mJBbU/h0qwc9R7LQwcMapLxvv9O6aMa3Bimjp7bP7WY/9
fXgr1m/wA6Tz/kxF+wIDAQAB
—–END PUBLIC KEY—–
Josep Albors a partir de un post de Marc-Etienne M.Léveillé, ESET
Related Posts
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.
Comentar
Lo siento, debes estar conectado para publicar un comentario.
Buenas noches desearia hacer una pregunata a Josep mi ordenador ha sido infectado con el cryptolocker ay posibilidad de recuperar los archivos y como
gracias
Hola Josep Mª,
Lamentablemente, con las variantes actuales de ransomware es casi imposible descifrar los ficheros afectados por lo que siempre recomendamos utilizar las copias de seguridad de los mismos para restaurarlos.
Hola, yo tambien he sido victima de este virus, sabes si el dia de mañana sacaran un software para desencriptar estos archivos??
Hola Josué,
De momento no es posible descifrar los archivos infectados pero si hay algún avance al respecto lo comunicaremos debidamente.
Saludos,
Josep