Tecnología

CTB-Locker, el ransomware más peligroso del momento

Image: Hacker image
Escrito por Marcos Merino

Tras infectar los equipos, encripta los archivos del usuario y exige un pago en bitcoins en 72 horas para recuperarlos.

Uno de los últimos miembros en unirse a la familia del malware fue el ransomware: programas que no pretenden pasar desapercibidos para destruir o robar archivos… sino que los encriptan (o bloquean el acceso al dispositivo) y se dan a conocer exigiendo grandes sumas de dinero para desbloquearlos; Cryptolocker o “el virus de la Policía” serían ejemplos de ransomware… y tienen nueva compañía.

El mes pasado, Microsoft hizo público el descubrimiento de una nueva (y sofisticada) variedad de ransomware, llamada Critroni.A, Onion-Locker o CTB-Locker. “CTB” son las siglas de las 3 tecnologías que sustentan este programa: ‘Curve’ (por la criptografía de curva elíptica), ‘TOR’ y ‘Bitcoin’:

  • La criptografía de curva elíptica es la usada para cifrar los archivos de los usuarios: su fortaleza hace virtualmente imposible desbloquear el acceso a los archivos sin pagar ‘el rescate’.
  • TOR es una red creada para garantizar el anonimato de sus usuarios, y que ha sido usada masivamente por todo tipo de activistas (aunque también tiene un historial de relación con actividades ilegales: era el sistema de acceso a Silk Road, el ahora desaparecido mercado online de estupefacientes). En CTP-Locker es usada para salvaguardar el anonimato de las comunicaciones entre los crackers y su software, y dificultar así la localización de los servidores donde se alojan los archivos.
  • Bitcoin, por otra parte, es la moneda criptográfica de moda y el medio de pago elegido por los crackers como medio para dificultar que las autoridades sigan el rastro del dinero. La cantidad a abonar para rescatar los archivos suele ser de 0,2-0,5 BTC, y el margen temporal para hacerlo, de 3 días. Los criminales tienen además el detalle de incluir instrucciones sobre cómo adquirir bitcoins y pagar con ellos.

“Esconder los servidores de control y comando en una red anónima TOR dificulta la búsqueda de los criminales. Así mismo, la utilización de este tipo de cifrado tan poco ortodoxo hace virtualmente imposible descifrar los archivos, incluso cuando el tráfico es interceptado entre los troyanos y el servidor. Esto convierte a este tipo de amenaza en una de las más peligrosas y avanzadas que existe“, afirma Fedor Sinitsyn, analista Senior de Malware en Kaspersky Lab, en el blog de su compañía.

La infección y cómo actuar

La infección del CTB Locker suele tener lugar a través de descargas en webs porno o de descargas. Una vez en nuestro ordenador (afecta a todas las versiones modernas de Windows) se almacenará con un nombre al azar dentro de un directorio temporal, escaneará nuestras unidades de almacenamiento en busca de ciertos tipos de archivo, los cuales cifrará, creando en el proceso nuevos archivos de extensión *.ctbl. Una vez finalizado el escaneo de nuestras unidades, se mostrará la siguiente pantalla de rescate:

ctb

Si nuestro equipo está infectado, lo primero que debemos hacer es pasar nuestro antivirus (que deberemos tener actualizado) y eliminar todos los ejecutables del directorio %Temp%, así cómo forzar la finalización de cualquier proceso en ejecución sospechoso, usando el Ctrl+Alt+Supr.

Todo esto, sin embargo, no ayudará a descifrar nuestros archivos: los ataques de fuerza bruta no son factibles (harían falta varios años para descifrarlos) y sólo tendremos la opción de restaurar copias de seguridad que tuviéramos preparadas previamente.

Imagen | Wikimedia

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.

  • Fernando Daza

    me sucedió lo mismo con ese remansarey busque por todo lado la solución pero no logre encontrarla mediante la WEB, de un momento a otro formatee mi equipo esperando que el virus fuera eliminado y los archivos desencriptados, efectivamente fue eliminado el virus pero mis archivos quedaron encriptados y quede en las mismas.
    no encontré nada en la Web y siguiendo mi instintos informáticos después de un dolor de cabeza logre solucionarlo por completo… lo logre y sin pagar ni un peso porque para mi no era seguro si pagando me dieran tal clave.
    si gustan me pueden escribir a mi correo y le colaborare con la solución.
    fernando.daza1990@outlook.com

    • Fco Simba

      Fernando como estas buenas tardes..
      si eres tan gentil y colaborar con la solucion a este problemas del CTBLocker
      mi correo es: fsimba@gmail.com

    • Fco Simba

      Fernando como estas buenas tardes..
      si eres tan gentil y colaborar con la solucion a este problemas del CTBLocker
      mi correo es: fsimba@gmail.com

    • Ing Donald Rodriguez

      Fernando, te envie un correo pero aun no recibo respuesta, gracias de antemano

    • Juanjo Magaña

      Que tal Fernando, saludos de antemano, mira tengo este mismo problema con el BTCLocker, he borrado el virus pero mis archivos siguen encriptados, cabe mencionar que en mi sistema no tengo restauración a puntos anteriores, me puedes compartir de que manera diste solución a la recuperación de tus archivos. de antemano muchas gracias y te dejo mi correo: Juanjal2010@hotmail.com

    • MatiasGamer

      Yo no tengo este problema , pero si en algún momento me llega a pasar quiero estar preparado. Este es mi correo > Miniwordword@yahoo.com.ar , mándame la solución si no es mucha molestia , gracias. ¡Salu2!!

  • Abraham Yañez

    los archivos encriptados los pueden recuperar mediante ShadowExplorer, este permite ver los archivos que están en las imágenes del sistema ocultas para posteriores restauraciones o restauraciones de archivos en particular. a veces el daño de este ransomware no permite hacer ninguna restauración, pero con eta aplicación se pueden ver los archivos, lo que se recomienda hacer es eliminar el problema, ya sea por antivirus o alguna aplicacion que lo pueda remover, asegurarse de que se haya eliminado, y entonces usar esta aplicación para buscar los archivos no encriptados, se exportan a la misma ubicacion del archivo original y ya tienen de nuevo el archivo perdido, ojo, se pueden perder algunos archivos, por lo que se recomienda no hacer muchos movimientos en la computadora para no sobreescribirlos y entonces si perderlos para siempre.
    en particular yo utilice la aplicacion Hitman para eliminar el problema del ransomware, se elimino totalmente, y se uso el metodo descrito para recuperar archivos encriptados, lo unico que se perdió fueron archivos de outlook .pst. y se daño un programa. espero les sirva, saludos!

    • riter

      hola segui tus instruccion de descargar el shadowexplorer, y me funciono para recuperar mis archivos, pero el detalle es que me funciono para recuperar solo los archivos del disco C y no los de D, cuando selecciono la D sale en blanco la lista, una ayuda por favor

  • Nicolas

    Gente, a ver si me pueden ayudar. Me ataco este virus y no puedo hacer nada y me encripto casi todos mis archivos en algunas horas. No restaura sistema a ningun punto anterior. Mañana voy a intentar borrar el virus como dicen y utilizar el shadow cosa que ya he intentado pero no funcion (sin eliminar el virus lo intente), Cualquier consejo o ayuda voy a estar agradecido

    • Ing Donald Rodriguez

      Igual a mi, estoy esperando la solución

    • Guillermo

      Por favor tengo el mismo problema, ya elimine el virus pero los archivos me kedaron encriptados, alguien sabe como recuperarlos por favor, mi verssion de virus que encontro mi antivirus fue win32/filecoder.DA.trojan

  • Ing Donald Rodriguez

    Necesito una respuesta….

  • Guest

    Yo no tengo este problema , pero si en algún momento me llega a pasar quiero estar preparado. Este es mi correo > Miniwordword@yahoo.com.ar , mándame la solución si no es mucha molestia , gracias. ¡Salu2!

  • Grupo Sisec sas

    Recupero tu información infectada por CTB-Locker no importa que hallas formateado tu computador, no importa que hallas formateado tu computador. jamo248@hotmail.com 57-3153142710

    • Andyinco

      Hola, puedes darme mas informacion? Necesito ayuda!!!

  • Julious

    Ya lo publique en otro grupo, sera dificil encontrar una solucion
    gratuita, todos los antivirus no pueden corregir el problema, apoyense
    con gente que al menos pueda asesorarlos en que hacer, yo tuve un caso y
    me apoyaron los cuates de http://ransomdecrypters.com.mx , tuve que pagar pero al menos ya restaure la actividad en la empresa, suerte a todos

    • Andyinco

      Hola, puedes darme mas informacion? Esa web ya no funciona

  • Jose

    ENTONCES FERNANDO ES EL PUTO HACKER
    NO VEN QUE ES EL UNICO CHINGON CON LA SOLUCION (DAS PENA HOMBRE)

  • Jorge L.

    Asistimos equipo win7 con el problema. 100% información vital encriptada y perdida. Nuestra experiencia arrojo finalmente aislar el virus, eliminar de raíz y limpiar equipo. Para la información no hay cura de desencriptar, sólo recomendamos aplicar imagenes de seguridad de cada equipo. Ojo, existen imagenes que estan ocultas y tienen data de hasta 3 meses tomadas 1 vez por semana. Pudimos rescatar nosotros bajo los procedimientos adecuados el 97% de la información perdiendo los ultimos 4 días habiles de trabajo. Posteriormente se debe formatear equipo ya que este virus crea distintas puertas y ventanas para que los hackers ingresen y sigan vulnerando información especialmente bancaria. Ojo este tipo de virus es controlado por personas hacker que sólo buscan ganar dinero provocando primero el daño. No hay otra opción que formatear y cambiar todo tipo de contraseñas utilizadas. Slds.