Onion Ransomware: surge una nueva versión de CTB-Locker

Una nueva versión de CTB-Locker, un ransomware que utilizan Tor y Bitcoin para evadir su detección y eliminación, debe ser evitado a toda costa.

Estamos ante el surgimiento de una nueva versión del ransomware Onion, aunque es posible que escuches hablar de éste con otros nombres como CTB-Locker o Citroni.

Independientemente de cómo decidas llamarlo, CTB- Locker es una pieza de malware como Cryptolocker, que codifica todos los archivos en el ordenador y exige un pago como rescate para poder decodificarlos.

CTB-Locker o Curve Tor Bitcoin Locker, a diferencia de otros ransomware, utiliza la red de anonimato del Proyecto Tor para protegerse de los esfuerzos de eliminación que se basan mayormente en los servicios de comando y control de malware. El uso de Tor le ayuda a evadir la detección y el bloqueo de éste. Otra cosa que CTB-Locker también protege son sus controladores, tan solo aceptando la cripto-moneda descentralizada y normalmente anónima, conocida como Bitcoin.

Todo esto hace que CTB-Locker sea una amenaza muy peligrosa y uno de los codificadores más avanzados tecnológicamente del mundo.

Como explicó Fedor Sinitsyn, analista de malware de Kaspersky Lab al Kaspersky Daily el año pasado , “esconder el comando y control de servidores en redes Tor anónimas complica la búsqueda para los cibercriminales, y el uso de un esquema criptográfico poco ortodoxo hace que la decodificación de un archivo sea imposible, aunque el tráfico entre el Troyano y el servidor sea interceptado”. “Todo esto lo convierte en una amenaza muy peligrosa y en uno de los codificadores más avanzados tecnológicamente del mundo”.

La nueva versión de CTB-Locker, conocida como Trojan-Ransom.Win32.Onion para los productos de Kaspersky Lab – contiene algunas actualizaciones interesantes, según Sinitsyn. Como ocurre cada vez más, ofrece a sus víctimas una especie de “demo de prueba”mediante la que se pueden decodificar cinco archivos del usuario sin tener que pagar ningún rescate. También está disponible en tres idiomas nuevos: alemán, holandés e italiano. CTB evita, con algunas habilidades nuevas, a las máquinas virtuales que los investigadores usan para analizar malware. Además de conectarse directamente a Tor, CTB puede utilizar seis servicios anónimos adicionales para impedir que pueda ser encontrado y bloqueado.

La mejor línea de defensa en contra de ésta y otras amenazas es tener una copia de seguridad de tu ordenador desde ya (y hacer otra copia la semana que viene). También necesitas un antivirus robusto y asegurarte de que tu software, sistemas operativos y aplicaciones tengan las últimas actualizaciones de parches. Una vez que has sido infectado, no hay manera de recuperar los archivos codificados por CTB-Locker. Podrías pagar el rescate pero, a pesar de que el cibercrimen es un negocio orientado cada vez más a la atención al cliente y a los profesionales, no hay garantía de que vayas a recibir la clave para decodificar tus archivos.

Nos guste o no, el ransomware es un gran negocio y es probable que se convierta en un problema mayor a medida que nuestro día a día y nuestras pertenencias se incorporan al llamado “Internet de las Cosas”.

Hasta el momento, Kasperksy Security Network ha detectado 361 amenazas de infección, la mayoría en Rusia y Ucrania. Los usuarios de los productos de Kaspersky Lab están protegidos específicamente de esta amenaza y de cualquier otro tipo de malware de codificación, a menos que tengan desactivado el “System Watcher”. Esta función crea inmediatamente copias de seguridad cuando detectan que algún programa sospechoso está intentando acceder al ordenador. Por favor, asegúrate de tener este módulo en ejecución.

Resumiendo, los usuarios de Kaspersky están protegidos mientras mantengan el System Watcher activado. Si ya estás infectado, la única manera de recuperar tus archivos es pagando el rescate, aunque no tienes ninguna garantía de que los recibas después de pagar. La vida es dura.

Última actualización: Junto con la policía holandesa hemos desarrollado una web para que puedas recuperar los archivos víctima del ransomware CoinVault.

Consejos