Existen ciertos programas que se hacen llamar «Rasomware». Estos son una variante de malware, virus, troyanos, etc, que a grandes rasgos, bloquea el equipo infectado cifrando todos y cada uno de los ficheros de dicho equipo. Cuando termina de cifrar el equipo aparece en pantalla una ventana solicitando un pago mas o menos grande de dinero por «liberar» el equipo secuestrado.
En este caso, ha sucedido algo que nunca hasta ahora había sucedido, al parecer el autor del malware ha liberado la Base de Datos con los datos y claves de desbloqueo de sus victimas.
Los que todavía no sabéis lo que es un Rasomware, diré que, uno de los Rasomware mas famosos, sobre todo en Europa, es el que se hace pasar por uno de los cuerpos de policía solicitando dinero por liberar el equipo. Seguro que habéis visto en algún sitio una captura parecida a esta:
La infección con Rasomware Locker
Volviendo al Rasomware Locker, la manera de actuar es la siguiente.
La victima «sin querer», se baja un ejecutable o un programa que cree que esta limpio y lo ejecuta en su ordenador. Este programa al ejecutarse muestra una pantalla similar a esta, en la que indica que los ficheros personales del equipo están cifrados. cifra documentos, imágenes, etc, ademas de cambiar el fondo del escritorio por esta imagen.
Una lista de las extensiones de ficheros que cifra son las siguientes:
.odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .dng, .3fr, .arw, .srf, .sr2, .mp3, .bay, .crw, .cr2,.dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .lnk, .der, .cer, .crt, .pem, .pfx,.p12, .p7b, .p7c, .jpg, .png, .jfif, .jpeg, .gif, .bmp, .exif, .txt
En este documento, se indica ademas de que los ficheros están cifrados, que para conseguir la clave, deberemos de conectarnos a un servidor en la red Tor. Aparece a continuación otra pantalla en la que indican que tenemos 96 horas, para realizar el pago del «impuesto». En la parte de abajo aparece un reloj con el tiempo que queda.
Si pulsamos en el botón de siguiente, nos parecerá otra pantalla donde indicara que se procederá a descifrar 5 ficheros, dejándoles en su estado original. Esto se hace para que la victima sepa que es verdad y no es un farol.
Si pulsamos otra vez en el boton «next», nos sale otra pantalla con los 5 ficheros que ha descifrado y dejado en su estado original.
Un poco de historia
La primera mención de este malware se remonta al 19 de Diciembre del 2013 en un post en la red Pastebin.
En ese post, indica esa persona que el malware esta realizado en C/C++, usando como algoritmo de cifrado BlowFish, y por supuesto vende el programa y el panel de control a 100$ y a 20$ el panel. Eso si, los pagos en Bitcoins.
So, as I said above the panel will be completed shortly. We are not completely finished, but are very close to release. Specifically, the panel is left to be finished, a couple of functions are left to be debugged, and we must test stability on different OS’s. You should expect the product’s release sometime this weekend (very likely, unless there is a holdup like a major bug found etc). Finally, we are selling PowerLocker for $100 USD, in BTC only at the moment. Rebuilds will be $25 (again BTC), and a ghost panel (http://i.imgur.com/ra966HI.png) is $20 (again BTC). The point of the ghost panel is to prevent suspicion from the login panel and to prevent your panel from being easily found by random people. We plan to encode the panel in IonCube.
Para terminar indica su dirección de la red de chat Jabber «gyx@jodo.im»
Mas tarde, hacia Junio del 2013 empezaron a salir a la luz datos del creador del Malware. Apareciendo los datos de contacto.
Datos de las victimas
Llega el 30 de mayo del 2015 y se publica un post, otra vez, en pastebin, en el que se indica un sitio para descargarse todos los datos de las victimas de este malware.
[Post con las victimas del malware]
En total, el fichero al que hace referencia tiene 62703 registros. Como bien indica en el post, el fichero tiene formato cvs, con las claves bitcoins, y la clave publica y privada para poder descifrar los ficheros que se cifraron por el malware.
I uploaded the database to mega.co.nz containing «bitcoin address, public key, private key» as CSV.This is a dump of the complete database and most of the keys weren’t even used.All distribution of new keys has been stopped.
A modo de ejemplo, el fichero tiene unos registros de la forma siguiente.
La verdad es una filtración inusual encontrarse con la noticia con un listado con las victimas de una bornet, o un malware por parte del propio creador de ese malware o del administrador del mismo. Se puede especular mucho con las motivaciones para realizar esa filtración. En nuestra opinión y a raíz de la filtración de sus datos el cerco sobre dicha persona estaba cerrándose peligrosamente, y pudo ver una manera de atenuar su futura pena si filtra los datos de las victimas. Por lo menos no podrán demostrar que se realizo la estafa para conseguir dinero.
Sea como sea, son muchas las victimas de esa botnet (62703). Como recomendación es que no habríais correos con adjuntos que vengan de procedencia no verificada. Otra solución es subirlo el adjunto a alguna plataforma de verificación online de malware, o si preferís lo enviáis a la cuenta «geminis@riseup.net» de este blog y prometemos estudiarlo por si tiene algún «bicho» oculto.
Paciente Cero 
