«¿Quién era?»: Consejos y trucos para la identificación de ransomware

En el caso de una infección de ransomware, una serie de herramientas y factores clave ayudarán a identificar el malware correctamente. El experto en seguridad de G DATA, Karsten Hahn, ha recopilado los consejos más importantes para limitar el daño y posiblemente para guardar datos.

La mayoría de las familias de ransomware se eliminan del sistema después de terminar su trabajo. El usuario a menudo solo se queda con datos encriptados y la demanda de rescate del chantajista, que puede usarse para identificación. Pagar un rescate no es garantía de que los usuarios afectados recuperen sus datos en su totalidad. Por lo tanto, es útil considerar la siguiente pregunta: ¿Qué ransomware atacó mi sistema? Porque la identificación ayuda a planificar los siguientes pasos: limpiar el sistema, guardar datos y prevenir futuros ataques de malware.

Con el conocimiento de la identidad del atacante, también se pueden responder otras preguntas:

  1. ¿El ransomware cifra los datos y, de ser así, cuál?
  2. ¿Se pueden descifrar los datos cifrados de forma gratuita mediante un programa externo o restaurarlos mediante programas de recuperación de datos o instantáneas de volumen?
  3. ¿Pueden los chantajistas descifrar los datos?
  4. ¿Cómo entró el ransomware en el sistema?
  5. ¿Se puede prevenir un ataque futuro?
  6. ¿Otro malware infectó el sistema con el ransomware y causó daños adicionales (por ejemplo, robo de datos de acceso)?

Ransomware: más que solo cifrar archivos

El término ransomware se utiliza a menudo como sinónimo de malware que cifra archivos y extorsiona el rescate, el llamado cifrador de archivos. Sin embargo, existen otros tipos. Por ransomware, generalmente entendemos cualquier programa malicioso que extorsiona el rescate e impide el acceso a los datos, partes del sistema o todo el sistema, o pretende hacerlo. Se pueden distinguir los siguientes tipos de ransomware:

  1. File-Encrypter:File-Encrypter encripta cada archivo individualmente y cámbiale el nombre agregando una extensión de archivo. Algunos cifradores de archivos, como CryptoHost, utilizan archivos protegidos con contraseña para cifrar y almacenar archivos.
  2. Disk Encrypter:Este tipo de ransomware generalmente infecta el registro de arranque maestro e impide que se inicie el sistema operativo. Además, cifra los datos en el disco duro o en la tabla maestra de archivos. Encriptadores de disco conocidosson Petya y Mamba (también conocidos como HDDCryptor) y el conocido AIDS de la época de DOS. Dado que solo hay unos pocos cifradores de disco, la identificación es relativamente fácil.
  3. Wiper Los limpiaparabrisas: destruyen los datos en lugar de cifrarlos. Esto se puede hacer de forma intencionada o no. Las causas típicas de los limpiadores no intencionales son errores en el algoritmo de cifrado o en el almacenamiento de las claves. Los limpiadores deliberados suelen imitar a los cifradores de archivos y pueden tener como objetivo debilitar a las empresas. El pago de un rescate no tiene sentido con limpiaparabrisas.
  4. Encriptadores: falsos Los encriptadores falsos fingen que están encriptando archivos. Puede hacer esto, por ejemplo, cambiando el nombre de los archivos en Windows y agregando extensiones de archivo que son típicas del ransomware. Windows reconoce a partir de la extensión qué programa se utiliza para abrir el archivo y muestra un mensaje de error si la extensión del archivo es incorrecta. Si el usuario restaura la extensión del archivo original, los archivos se pueden abrir nuevamente.
  5. Bloqueadores de pantalla: son menos dañinos desde un punto de vista técnico, ya que el mecanismo de bloqueo se puede invertir. Muy a menudo, los delincuentes combinan los bloqueadores de pantalla con estafas de soporte técnico. El bloqueador de pantalla imita una pantalla azul y muestra un número de teléfono. En el otro extremo de la línea, la persona se hace pasar por un técnico de Microsoft y solicita un pago para reparar el sistema supuestamente dañado.

Trabajo de detective en mensajes de chantaje

Las demandas de rescate ofrecen numerosas pistas para exponer al atacante. A veces contienen el nombre del ransomware directamente y, por lo tanto, revelan su identidad. Sin embargo, esto también puede ser engañoso porque hay imitadores, especialmente para familias exitosas de ransomware. GlobeImposter ransomware incluso obtuvo su nombre por hacerse pasar por Globe.

En muchos casos, el lenguaje, la estructura o el diseño del ransomware se pueden utilizar para identificar el ransomware. Otras características son: el formato del ID de usuario, la dirección de pago, el monto y el tipo de nota de rescate. El pago de rescate típico se realiza a través de la moneda criptográfica Bitcoin. Los métodos de pago inusuales, como las tarjetas de regalo de Amazon o las monedas como Ethereum, limitan gravemente el número de posibles familias de ransomware.

Detecta rastros reveladores en archivos cifrados

Desafortunadamente, los tiempos en los que el ransomware solo se podía identificar a través de las extensiones de archivo terminaron desde CryptoWall 4.0. Desde entonces, algunas familias de ransomware (por ejemplo, Locky y CryptXXX) han hecho que los nombres de los archivos sean completamente irreconocibles. Debido al ransomware-as-a-service, ahora hay demasiadas extensiones de archivo superpuestas. «.Lock» y «.locky» son tan comunes como extensiones de archivo que han perdido su significado.

Hay otras sugerencias que se pueden utilizar para identificar ransomware. Porque algunas familias de ransomware crean un archivo de texto separado con una lista de todos los archivos cifrados en el sistema. En algunos casos, el ransomware aplica su propio icono a los archivos que cifra (por ejemplo, CrypVault tiene un candado como icono). Los marcadores en los archivos cifrados también pueden ayudar.

Puntos importantes para identificar ransomware según los archivos afectados:

  1. Detectar esquema de cambio de nombre para archivos cifrados
  2. ¿Los archivos están corruptos o encriptados?
  3. ¿Qué datos cifró el malware?
  4. ¿Los archivos cifrados tienen su propio icono?
  5. ¿Hay marcadores en los archivos cifrados?
  6. ¿Hay listas de archivos, archivos clave u otros archivos utilizados por el ransomware?

Siempre puede empeorar: la superinfección

Como si un ataque cibernético no fuera lo suficientemente malo, también existe el riesgo de sobreinfección. En otras palabras, los archivos que ya están encriptados por malware continuarán encriptando otro ransomware. La restauración de estos archivos no es factible en vista de posibles malas interpretaciones. Un signo de superinfección de ransomware son las múltiples extensiones de archivo de ransomware para archivos cifrados. ¿Quieres un ejemplo? El siguiente archivo fue cifrado primero por Amnesia y luego por Dharma: “9g00000000000009U8WGvoaZXhE0l7BF59iYLh61kswFEDis7 + Grf8ZuT0mIYpsyLztp8fNSDZiOBLE.22222.qionqi.gg.

Para descifrar este archivo, debe proceder en orden inverso. En nuestro ejemplo, primero hay que descifrar el Dharma y luego la Amnesia.

Herramientas y sitios web útiles

El ransomware ID de MalwareHunterTeam y NoMoreRansom.org son servicios gratuitos de identificación de ransomware.

Una buena fuente de información sobre ransomware es el blog y los foros de Bleepingcomputer.com . No solo hay un informe semanal sobre nuevos descubrimientos de ransomware, sino también ayuda para identificar infecciones de ransomware. El equipo del foro ayudará a descifrar o restaurar archivos siempre que sea posible.

El analista Michael Gillespie ha publicado algunas herramientas para tratar infecciones de ransomware. Además de numerosos programas de descifrado, también ha publicado CryptoSearch. Esto permite encontrar, mover o copiar archivos cifrados. Al mismo tiempo, la herramienta ayuda a eliminar las notas de rescate y a limpiar los archivos cifrados.

Enlace: https://www.gdata.de/blog/2019/06/31757-tipps-und-tricks-zur-ransomware-identifikation Blog de G DATA  Karsten Hahn