CryptoLocker, CryptoWall, HELP_DECRYPT,…: borran todos tus datos. Qué hacer

Imagínate que un día arrancas tu computadora de casa o del trabajo y ésta se enciende como siempre pero no puedes abrir ninguno de tus archivos; todos dan error: fotos (incluso familiares), vídeos, trabajos hechos en Word, hojas de cálculo en Excel, PDFs, bases de datos, copias de seguridad…. ¡Todo perdido!

Y además no solo afecta a los que están en el equipo sino también a los que puedan guardarse en discos USB y en otras computadoras de la red, incluyendo servidores. Has perdido toda la información (o, mejor dicho, secuestrada, con programas ransomware como CryptoLocker, CryptoWall,…) y quedan unos ficheros HELP_DECRYPT, HELP_RESTORE_FILES_jlmxu o similares o los archivos con extensión ecc o exx (depende del virus o malware).

CryptoWall es un virus tipo ransomware (bloqueador de sistemas) que se infiltra en el sistema operativo del usuario a través de un mensaje de email infectado o una descarga fraudulenta, por ejemplo supuestos reproductores de vídeo o actualizaciones de flash. Tras entrar en el sistema con éxito, este programa malicioso encripta los archivos almacenados en el PC del usuario (*.doc, *.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) y exige el pago de un rescate de 500 dólares (en Bitcoins) para desencriptar los archivos. Los ciberdelincuentes responsables de lanzar este fraudulento programa se aseguraron de que se ejecuta en todas las versiones de Windows (Windows XP, Windows Vista, Windows 7 y Windows 8). El virus ransomware crea los archivos: DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html y DECRYPT_INSTRUCTION.url en todas las carpetas donde haya archivos encriptados.

Esos archivos incluyen instrucciones para que los usuarios puedan desencriptar los archivos, entre ellas, la utilización del navegador Tor (navegador web anónimo). Los ciberdelincuentes ocultan su identidad tras el navegador Tor. Los usuarios deben ser conscientes de que, aunque no es complicado eliminar la infección, la desencriptación de los archivos afectados (encriptados con el sistema criptográfico RSA 2048) por este programa malicioso no es posible si no se abona la suma del rescate. En la fecha de nuestro análisis, no se encontraron herramientas o soluciones capaces de desencriptar los archivos encriptados por CryptoWall. Tenga en cuenta que la clave privada que puede usarse para desencriptar los archivos se encuentra en los servidores de mando y control de CryptoWall, gestionados por los ciberdelincuentes. La solución ideal sería eliminar este virus ransomware y luego restaurar los archivos a partir de una copia de seguridad.

Captura de pantalla del mensaje que se muestra en los archivos DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html y DECRYPT_INSTRUCTION.url:

cryptowall-1t-instructions-txt

Las infecciones ransomware como CryptoWall (por ejemplo: CryptoDefenseCryptorBit y Cryptolocker) deberían ser motivo suficiente para tener siempre copias de seguridad de todos los archivos guardados en el equipo. Tenga en cuenta que el hecho de pagar la suma del rescate exigida por este ransomware equivale a enviar un pago (su dinero) a ciberdelincuentes; estaría apoyando el modelo de negocio fraudulento y además no tiene garantías de que los archivos se desencriptarán en algún momento. Para evitar que nuestros sistemas se infecten con un virus ransomware, debemos tener especial cuidado a la hora de abrir mensajes de email. Los ciberdelincuentes usan varios títulos atrayentes para engañar a los usuarios y que así abran los adjuntos infectados, por ejemplo “UPS – Notificación de excepciones”. Según investigaciones recientes, los ciberdelincuentes también utilizan redes P2P y descargas fraudulentas con este virus empaquetado para propagar CryptoWall.

Mensaje mostrado en los archivos DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html y DECRYPT_INSTRUCTION.url:

¿Qué pasó con sus archivos?

Todos sus archivos han sido protegidos usando un potente cifrado RSA-2048 con CryptoWall. Encontrará más información acerca de las claves de cifrado con RSA-2048 en el siguiente enlace: http://es.wikipedia.org/wiki/RSA

¿Qué quiere decir esto?

Quiere decir que la estructura y datos de sus ficheros han sido cambiados de forma irrevocable; no podrá trabajar con ellos, leer o verlos, es como si los hubiera perdido para siempre, pero con nuestra ayuda puede recuperarlos.

¿Cómo ha podido ocurrir esto?

Expresamente para usted, hemos generado en nuestro servidor un par de claves secretas RSA-2048 (pública y privada). Todos sus archivos han sido cifrados con la clave pública, que se ha enviado por internet a su ordenador. La única opción para descifrar sus archivos es con ayuda de la clave privada y el programa de descifrado, que se encuentran en nuestro servidor secreto.

¿Qué es lo que tengo que hacer?

Si no sigue las instrucciones necesarias a tiempo, cambiarán las condiciones para conseguir la clave privada. Si le importan sus datos verdaderamente, le aconsejamos que no pierda su tiempo valioso en buscar otras soluciones porque no existen.
Para leer instrucciones más detalladas, por favor visite su página web personal. Abajo hay varios enlaces que le llevarán hasta allí.

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

Si por cualquier motivo los enlaces no funcionan, siga los siguientes pasos:

1. Descargue e instale el navegador Tor: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Cuando finalice la instalación, abra el navegador y espere a que se cargue.
3. Escriba en la barra de direcciones: kpai7ycr7jxqkilp.onion/3koe
4. Siga las instrucciones de la página.

Captura de pantalla de un mensaje de email infectado que se usa en la distribución de CryptoWall:

cryptowall-ups

Texto que se muestra en los mensajes de correo electrónico infectados:

De: UPS Quantum View [auto-notify (at) ups.com]
Asunto: UPS Exception Notification, Tracking Number 1Z522A9A6892487822
Discover more about UPS: Visit ups.com
At the request of the shipper, please be advised that delivery of the following shipment has been rescheduled.
Important Delivery Information
Tracking Number: 1Z522A9A6892487822
Rescheduled Delivery Date: 14-April-2014
Exception Reason: THE CUSTOMER WAS NOT AVAILABLE ON THE 1ST ATTEMPT. A 2ND ATTEMPT WILL BE MADE PACKAGE WILL BE DELIVERED NEXT BUSINESS DAY.
Shipment Detail: 1Z522A9A6892487822

Captura de pantalla de la pasarela de pago del rescate en CryptoWall:

cryptowall-1

cryptowall-decrypt-2

Mensaje que se muestra en la página de pago del rescate en CryptoWall:

Servicio de descifrado
Sus archivos han sido cifrados.
Para conseguir la clave de descifrado, tiene que pagar 500 USD/EUR. Si el pago no se realiza antes de la fecha X, el coste de descifrado de los archivos se duplicará hasta los 1000 USD/EUR. Tiempo que queda antes de que se duplique la cuantía: [temporizador]

Le facilitaremos un programa especial, CryptoWall Decrypter, para desencriptar y devolverle el control de todos sus archivos cifrados. ¿Cómo puedo comprar CryptoWall decrypter?

1. Debe registrarse en Bitcoin Wallet.
2. Compre Bitcoins: Aunque no es tan fácil comprar bitcoins, cada día se simplifica aún más.
3. Envíe 1,22 BTC a la dirección de Bitcoin: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Introduzca el ID de transacción y seleccione el importe.
5. Por favor, verifique la información del pago y haga clic en “PAGAR”.

Tenga en cuenta que en la fecha de publicación del artículo todavía no había ninguna herramienta conocida que pudiera desencriptar los archivos cifrados por CryptoWall sin pagar el rescate. Con esta guía, podrá eliminar este virus ransomware de su sistema, aunque los archivos afectados seguirán encriptados. Actualizaremos el artículo en cuanto haya más información sobre la desencriptación de los archivos infectados.

¿Qué se puede hacer o cómo prevenirlo?

El mejor recurso es siempre la prevención, por eso es recomendable:

  • No abrir bajo ninguna circunstancia enlaces recibidos por mail no solicitados o de dudosa procedencia. Es mejor consultar al remitente que ser infectados.
  • No abrir ficheros PDF, comprimidos (zip o 7z), documentos de Word (doc, docx), Excel (xls, xlsx, xlsxm), PowerPoint (ppt, pptx), ejecutables (.exe) o similares que no hayan sido solicitados y ante la más mínima duda.
  • No navegar por páginas dudosas, en la medida de lo posible.
  • Tener algún software antivirus actualizado.
  • Tener actualizado el sistema operativo, lector de PDF, y aplicaciones (por ejemplo Office, etc.), así como los navegadores utilizados, y todas las extensiones (Flash, Java, etc.).
  • Asegurarnos de que tenemos instalado los programas que necesitamos y eliminar los demás (por ejemplo, muchos ordenadores incluyen Java por defecto, que ha tenido problemas de seguridad y si el usuario no lo utiliza, es mejor desinstalarlo y no exponerse a riesgos innecesarios). Cuantas menos puertas tenga, más fácil será defender la casa.
  • Revisar los permisos de las carpetas de red.
  • Hacer copias de seguridad frecuentes de toda la información importante en medios diferentes y rotarlos.
  • Grabar los archivos importantes en DVD o CD, que, a día de hoy, no me consta que ningún virus informático puede destruir.

Una vez infectado, ¿qué se puede hacer…?

Tal y como se ha expuesto, hay pocas opciones. El año pasado hubo intentos de acabar con la red de extorsión montada alrededor de este tipo de amenazas informáticas con la Operación Tovar https://youtu.be/2MBjJqRAF7c contra CryptoLocker, pero parece que han regresado y ahora hay más variantes.

  • Desconectar la computadora de las redes informáticas (cable y Wifi) lo antes posible y, en la medida de lo posible, apagarlo. Lo habitual es que un síntoma es que “va muy lento”.
  • Lo ideal sería extraer el disco y conectarlo a otro equipo, en caso de no ser posible, hay que eliminar el virus, una vez identificado por los síntomas (si presenta una pantalla informativa como la descrita puede ser CryptoLocker, o si deja archivos HELP_DECRYPT, por ejemplo). Asegurarse de que queda limpio.
  • Restaurar de la copia de seguridad, si la hay, los archivos modificados.
  • Si el sistema es Windows 7 o superior y se tiene activada la opción de recuperar versiones anteriores del archivo (botón derecho versiones anteriores del fichero), puede ser una oportunidad de recuperar algunos ficheros. Con http://www.shadowexplorer.com/ se puede hacer sin tener que ir uno a uno.
  • En caso de que los archivos sean muy importantes (por ejemplo archivos de la empresa, documentos vitales, etc.), siempre se puede recurrir a profesionales en la recuperación de datos, ya que aunque haya que pagar, en muchas situaciones vale la pena.
  • En todos los casos, como se puede observar, la recuperación es muy difícil cuando no imposible, de ahí la importancia de la prevención a través de no hacer clic en enlaces sospechosos, no abrir ficheros no solicitados y de tener copias de seguridad frecuentes.

Fuentes:

CryptoLocker, HELP_DECRYPT,…: borran todos tus datos. Qué hacer y soluciones (Actualizado 05.2016)

https://www.pcrisk.es/guias-de-desinfeccion/7401-cryptowall-virus