Esto es lo que nos encontramos una vez nuestros archivos quedan cifrados.
Nos topamos con un ransomware con temática Española, el mensaje de rescate se encuentra únicamente en este idioma, por lo que podemos concluir que el foco de esta amenaza esta dirigido a usuarios de habla hispana.
Ejecución del proceso
REYPTSON ejecuta un archivo con extensión .pdf dentro de la carpeta de %APPDATA% de Spotify. Enumera los discos instalados y cambia el archivo .pdf a SpotifyWebHelper.exe para hacerse pasar por una aplicación legítima, y se añade al registro de Windows con un script vbs para asegurarse su ejecución, cuyo nombre de tarea será «Spotify Web Helper v1.0». Descarga un archivo comprimido de http://www.melvinmusicals. com/facefiles/factura.pdf.rar llamado por el método enviador() que veremos más adelante.
El ransomware cuenta con una comprobación de la ruta de instalación de Firefox, y del cliente de correo de la misma marca, Thunderbird. ¿Para qué lo hace? Primero intenta obtener las credenciales del usuario que ya se encuentra guardado en el sistema, y luego se autopropaga por e-mail haciendo uso de estas credenciales.
Comprobación de ruta de instalación de Thunderbird.
El correo que nos llegaría, con asunto Folcan S.L. Facturación, tendría el siguiente aspecto:
E-mail enviado a los usuarios robados de Thunderbird.
El alcance de este método de propagación, está por ver, pero es interesante verlo incluido dentro del ransomware. Como podemos ver a continuación, también recolecta los contactos almacenados en Thunderbird, a los que posteriormente les es enviado el correo anterior.
Recolección de usuarios de Thunderbird.
Tenemos también el método AES_Encrypt, para el cifrado de archivos y modifica su extensión a «.REYPTSON»:
Método de cifrado de archivos, llamado con outputFile + ‘.REYPTSON’
Se envía al usuario un enlace, con el identificador de su usuario accesible únicamente a través de la red TOR.
Finalmente, tenemos la nota de rescate, cuyo texto podemos ver a continuación:
Nota de acceso a los datos robados, que podemos ver al inicio del post
De momento, la muestra es detectada por 34 motores antivirus. Ante este tipo de amenazas donde los antivirus pueden no llegan a tiempo, la pauta a seguir es comprobar que el correo electrónico está realmente emitido por la entidad, y en caso de tener adjuntos evitar abrirlos en su totalidad. Si fuese necesario, llamar a la entidad para comprobar que el correo realmente esté emitido por ellos o tenga alguna relación.
Detecciones en VirusTotal
Fernando Díaz
fdiaz@hispasec.com
Karrtojal dice
Buenas, primero deciros que os sigo desde hace años a través una-al-dia y que sigáis así informando de este mundillo de la seguridad. Muchas gracias.
Y respecto a la noticia sólo comentar que siempre hay que estar actualizado pero ni con esas a veces un descuido provoca que entre el virus y haga el desastre. Yo pienso que otra forma de prevenir daños mayores es no tener los archivos en local. Es decir, tenerlos en la nube. Al no estar físicamente, el virus no puede hacer trastadas. Pongo como ejemplo a dataprius.com o sharepoint, o google docs, sin sincronización ni nada. Acceso directo y trabajo directo en la nube. Así por lo menos, no tienen con qué extorsionarte.
Fernando Díaz dice
Buenas,
El tener una copia de seguridad de los datos es algo que siempre se ha dicho, especialmente para empresas. El tener el software actualizado no siempre protege, ya que este tipo de malware intenta saltarse los antivirus durante el tiempo suficiente para hacer daño.
Si recibes un ataque por este tipo de malware, lo ideal es que tengas un backup de tus datos, pero la inmensa mayoría aun no lo tiene…