Lo que voy a contar en este post es un caso real, un caso de 'Ransomware' que sufrió una empresa y que afortunadamente terminó bien.
Probablemente algunos de los actos descritos en este post puedan suscitar cierta polémica o enviar un mensaje equivocado, mi intención es contar lo sucedido sin entrar en valoraciones más allá de lo objetivo.
El escenario de la infección era el siguiente: Una empresa en la que cada trabajador tiene su propio PC y un servidor con varias carpetas compartidas a la que tienen acceso todos (lectura y escritura)
En un momento dado los empleados se dan cuenta que los ficheros a los que accedían normalmente en las carpetas compartidas del servidor dejan de estar ahí, no existen, han sido renombrados con la extensión '.nobackup' y las aplicaciones asociadas a ellos (word, reader, etc) no los procesan correctamente. Adicionalmente en cada una de las carpetas aparece un fichero llamado how to decrypt files.txt con un contenido tal que así:
If you are reading this text (read this carefully), it means that your important files (photos, videos,
documents, archives, databases, backups, etc.) which were blocked with the strongest military cifer RSA1024.
No one can`t help you to restore files without our decoder. If you have a backup, you're lucky and smart
administrator.
If you want to restore files send e-mail to savepc@tormail.org with "how to decrypt files.txt" and 1-2
encrypted files less than 1 MB.
You will receive a decrypted samples and our conditions how you`ll get the decoder.
Follow the instructions to send payment. N.B. Remember, we are not scammers.We don`t need your
files.All data will be restored absolutelly. Your guarantee-decrypted samples.
Y junto a eso, una suerte de código que tiene toda la pinta de ser el el resultado de cifrar una clave simétrica con una clave RSA.
Esta familia de virus es relativamente antigua y parece que este ejemplar en cuestión pertenece a la familia 'Rannoh', huelga decir que el antivirus que emplea esa empresa no lo detectó. Hay varias herramientas de diferentes fabricantes de AVs que funcionan con algunas versiones de este virus y consiguen descifrar los ficheros. En este caso ninguna de ellas fue útil.
Para darle un poco más de emoción, cuando se analizó el equipo desde el que partió la infección, no se pudo recuperar una muestra del virus ya que al terminar su 'tarea' se auto-elimina del disco duro. Sucesivos intentos de recuperar una muestra analizando el contenido del HD con un buen número de herramientas forenses fracasaron.
Por lo que pude ver, el cifrado que realiza este virus sobre el fichero no es completo, simplemente cifra la parte inicial del fichero. Con mucho esfuerzo y ganas, es probable que de algunos ficheros se pudiese salvar parte de la información.
Aun así no era una solución válida, así que nos pusimos en contacto con los 'secuestradores'. En muchos foros se lee que no es aconsejable y que es un timo, no obstante, era una vía que estaba ahí y la quisimos explorar.
Siguiendo las instrucciones del rescate, enviamos un fichero de muestra cifrado y el fichero 'how to decrypt files.txt'
Al cabo de dos días, la respuesta:
Ya tenemos oferta final para el rescate: 150 Euros (en el fichero con las instrucciones del rescate hablaban de dólares), si se pagaban a través de la ya desmantelada liberty reserve o 200 Euros si se hacía mediante cupones UKASH.
Estuvimos investigando el cómo hacer el ingreso a través de Liberty Reserve y lo cierto es que, si piensas que LR era un tinglado, te confirmo que sí, apenas solicitaban datos para abrir la cuenta y aceptaban dinero desde múltiples fuentes. Resulta difícil de asumir que algo como LR haya estado funcionando tanto tiempo.
A pesar de la diferencia de precio, decidimos apostar por UKASH por la facilidad de la transacción. UKASH son una suerte de tarjetas pre-pago, compras una tarjeta por una cantidad X y puedes 'pagar' con ella con tan solo decirle a la otra persona el PIN. Se pueden adquirir en muchos establecimientos en España
Una vez enviado el correo con el PIN de UKASH tocó esperar ¿responderán? ¿será un timo?
Respuesta: Sí, si respondieron y enviaron un fichero llamado Decryptor.exe para descifrar los datos.
Aquí se rompe el mito que uno puede leer en muchos sitios: Al menos estos 'secuestradores' sí cumplieron y enviaron el programa que, efectivamente, descifra el contenido.
Pero no todo son buenas noticias, al subir el fichero a VT:
Un buen número de soluciones antivirus lo detectan como un troyano. Para hacer el descifrado se creó un ambiente 'confiable' en una máquina virtual y tan solo se descifraron ficheros de datos, no ejecutables (que también quedan cifrados por este virus).
En mi opinión, si eres un particular y estás en esta tesitura, no me lanzaría a la ventura tu solo, no hay que olvidar que estamos tratando con delincuentes y el programa que nos enviaron para descifrar, aun funcionando, resulta muy poco confiable
Hasta aquí la historia del ciber-rescate, mañana, una de reversing con el fichero 'descifrador'
31 comments :
Qué patético... Si yo fuera el administrador de sistemas de esa empresa se me caería la cara de vergüenza sólo de pensar que le tengo que decir a mi jefe que nos han secuestrado.
Muy bueno. Esperando con ganas el reversing para ver qué hace el "bichito". Gracias
me podéis dar un muestra del archivo encryptado ?
Y los backups? Es que nadie piensa en los backups?
Yo también tengo ganas de ver que pasó con el "bichito" :-)
Me se de unos que a partir de ahora si :-)
Pinta que no es una empresa grande orientada al mundo TI, será una pyme o algo así con todo externalizado y blah blah, aunque eso no quita que tengan un backup !!
Pues en mi humilde opinión (y sin ánimo de crear polémica ni de contrariar a nadie) no me parece que se pueda decir que la historia terminó bien.
Si hubo que pagar el rescate y encima el descifrador hubo que cogerlo con guantes y mascarilla y meterlo en una máquina virtual donde sólo se descifraron ficheros de datos porque de los ejecutables no nos fiamos...
Habría estado bien que se hubiera podido resolver por medios puramente informáticos: por ejemplo, siendo capaces de descifrarlos por nuestros propios medios o tirando de backup ( y ojo, que a veces los "bichos" se meten en el backup y si dan la cara días después, pues al restaurar nos quedamos igual).
Pero así... dinerito para la mafia. ¿Por qué terminó bien? ¿Porque nadie mató a nadie?
Bueno, que nadie se enfade, que es sólo la opinión de una ciberignorante. Que yo, probablemente, lo que habría tenido que hacer es tirar el PC a la basura (bueno, al punto limpio).
:-)
Más sobre cibersecuestros:
http://krebsonsecurity.com/2013/06/cashout-service-for-ransomware-scammers/
Tienes razón, pero el concepto bien / mal en este caso es difuso, el 'bicho' (como veremos mañana) parece que hace bien las cosas y no deja margen a 'romper' el cifrado.
De todas formas en mi caso uso lo de bien en el sentido de que esa empresa, que había quedado a las puertas de tener que cerrar, al final no lo hizo.
Dices la herramienta de descifrado o un fichero ?
Yo creo que absolutamente todos somos susceptibles de cometer errores, como bien dice Alejandro, la empresa no era una gran compañía con miles de euros invertidos en seguridad. Es una empresa con una actividad ajena a la informática y su infraestructura está diseñada para dar servicio
Una curiosidad, por casualidad los archivos cifrados bajo
RSA1024 no tendrían la extensión .done en vez de .block
Sin ánimo de generar polémica, y atendiendo a la necesidad imperiosa de "Si no tenemos la información tenemos que cerrar" no veo mal el que se haya optado por la vía de pagar, ya que la necesidad manda. Pérdida de puestos de trabajo-cierre de la sociedad, etc etc.. VS 200 pavos...
Sobre lo de la verguenza de un SysAdmin pues bueno, hay opiniones de todo tipo. Yo tengo la opinión que de verguenza nada. Todos hemos cometido cagadas, y aprendes que unas veces se gana y otras se pierde. Y muchos buenos y profesionales SysAdmins no tienen todas las herramientas ni todo el tiempo del mundo para poder realizar buenas implementaciones.
Salu2
Bueno, eso de las herramientas y el tiempo, te lo compro para determinados temas, NO para pasar a un DVD/HD/NAS/Dropbox todas las semanas unos cuantos gigas. Para eso, no debería haber excusa he incluso responsabilidad civil como para un médico. Un negocio depende de ello.
Alex la teoría está cojonuda y comparto al 100% lo que suscitas, pero que ocurre si la empresa no pone los medios necesarios para poder realizar de forma eficiente el trabajo de un Sysadmin? Se puede avisar una vez, dos, o incluso dejarlo por escrito, pero... Y si no te dan los medios?
Sobre la responsabilidad civil, pues daría para un debate interesante...
Si alguien no ve el retorno de tener un backup en otro HD (40€) es que quien sea, no ha sido capaz de explicar cual es el problema, o no debería haber aceptado hacer ese trabajo.
"No vi ese sql injection con el que se han llevado tu base de datos porque solo tenia 2 días para auditar", Pues mira, no audites o no te dejes prostituir por nada. En este caso, lo veo igual. Si alguien no puso dinero para un backup, quien le monto la red, debería vender la PcActual en un kiosco.
¿Y no se avisó a la policia?
Sí, hay una denuncia cursada al respecto
Alejandro, estoy totalmente de acuerdo contigo. Y agrego, aun sí la empresa no quiere dar los medios o herramientas para lograr o implementar la seguridad mínima requerida el "SysAdmin" debe negarse rotundamente. Mejor no hacer nada a hacer algo que se vaya por el inodoro o dejar las cosas a medias.
De hay el dicho "O se hace bien o no se hace".
Muy interesante, yo conocí otro caso donde también se pagó el rescate y se liberó la información. aún así lo mas recomendable sería tener respaldos
Una duda. Solo encriptaron C: o también los otros discos duros?
Otra duda ¿como prevenirlo?
Totalmente brillante, que nivel de gente para realizar esto, definitivamente es la siguiente evolucion en la escalera del malware, vuelvo a lo que opine en el thread de antivirus, estamos luchando contra nuevas amenazas con armas viejas, eh evaluado a profundidad una herramienta, no me habia atrevido a poner el nombre porque no se si es permitido pero puede servirles de dato para el resguardo de sus endpoints y servidores, la herramienta se llama bit9 es una solucion totalmente diferente al tradicional antivirus, es un software de whitelist, que hace checksum de aplicaciones, tu le creas perfiles de apps permitidas, pero bueno los dejo para que investiguen la herramienta es super efectiva.
Yo me encontré con un caso parecido y pude descifrar los ficheros con una herramienta: RannohDecryptor de Kaspersky [http://support.kaspersky.com/sp/faq?chapter=176492791&print=true&qid=208286528] Supongo que tuve suerte en este caso, pero posiblemente me habría costado mucho soltar los 200€. Con los secuestradores no se negocia, pues les proporcionas medios económicos y justificación para seguir haciendo el mal.
un fichero encryptado por favor si se puede
porque en general los informáticos en España están muy mal pagados ? en Alemania por ejemplo el sueldo medio de un informático he oído que es de aprox.2900 €
Se que soy el ultimo mono y que ni soy sysadmin ni lo pretendo aunque "juegue" a ello desde hace tiempo....
Tampoco quiero meterme donde no me llaman ni suscitar ningún tipo de polémica, pero creo que aquí pasa un poco como con mi padre, se cree que todas las empresas son EADS y no, existe el taller del "tío paco" en el que no ganas 2500€ y no tienes beneficios de nada.
Me explico, si en uno de los clientes donde yo trabajo, os contase la de irregularidades que hay os quedaríais a cuadros. Partiendo de haberse tirado 2 AÑOS sin un solo backup (a pesar de repetirlo hasta la saciedad) hasta tener gente no cualificada (es decir, yo). Y lo que quiero decir es que hay gente muy burra, que le da lo mismo tener o no backup, que no saben lo que es la LOPD (lo saben, pero les da igual) y un largo etc.
En este caso estoy con Juan, hay muchas "medianas" empresas que no saben lo que es tener seguridad en sus datos, y claro, pasa lo que pasa.
Saludos y espero no molestar a nadie con mi comentario.
Yago, cual fué el vector de entrada de la infección ? y aunque no encontrarais el bicho, encontrastes evidencias de su existencia en el sistema, o borró todo rastro ?
Hay dios mi vida, soy yo con mi humilde portátil y tengo Backups echas y accesibles desde dos puntos diferentes, 1- Disco duro externo 2- En la Nube y soy un simple usuario que no quiere perder sus archivos (algunos de ser perdidos serian irrecuperables, un ejemplo las fotos de mis viajes), en fin que por muy pequeña que sea la empresa el Admin o encargado de la "seguridad" de esa red no tiene perdón ni excusa bajo mi punto de vista. Eso si, de una cosa estoy seguro, ya no volverá a pasarle o eso creo porque como se suele decir "de palos o a palos se aprende" ¿verdad?, o no.
Hay ocasiones en la que no se puede hacer el trabajo correctamente. Es barato hacer backup, pero y si la empresa es muy pequeña, y allí a nadie le importa la informática y no se quiere invertir en informática hasta que hay un disgusto. Qué proponen que haga el administrador, que pague los discos duros de su bolsillo para hacer backup. En ningún caso es culpa del administrador, cuando no se dispone de medios. Hay quedan dos opciones, seguir adelante sabiendo que todo se hace mal y que en algún momento te vas a comer un marrón pero de los buenos, o coger la puerta y marchar con tu música a otra parte.
Puede que no haya sido capaz de explicar el problema, cierto. Considera que haya sido capaz y que aún así el jefe no quiere invertir los 40 €.
Bien el problema es que la informática no se considera un departamento CON ENTIDAD PROPIA en las empresas, sino que siempre depende de alguien, por lo tanto, ni pincha ni corta, es un mandado.
La empresa no tendrá presupuesto para temas de backup, licencias originales, antivirus, firewall, etc, pero para dietas de jefes y jefecillos sí hay.
Hasta que un día todo el sistema informático se viene abajo y no se puede facturar, ni servir mercancía, etc etc.
A mi me comentaron el caso de un servicio muy importante que estuvo más de un año pensando que estaban haciendo copias de seguridad, todo eso se había delegado en una contrata, en vez de hacerlo los funcionarios que había hasta el momento. Hasta que un día uno de los funcionarios dijo voy a verificar las copias, aunque ya no tenía derecho a ello, porque sehabía dado el servicio a una empresa externa y vio que no había ni la primera.
Fallos y errores los hay en todas partes, luego la repercusión que tengan ya es otro cantar.
Publicar un comentario