Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/12/2014
Win32/VirLock, primer ransomware polimórfico que se autoreproduce
Win32/VirLock es un ransomware que bloquea las pantallas de las víctimas, y también actúa como un virus parasitario, ya que infecta los archivos existentes de los equipos. Además, es polimórfico, lo que lo convierte en un tipo de malware muy interesante para analizar. Esta es la primera vez que observamos una combinación de funcionalidades maliciosas de este tipo.
Tras la publicación del artículo de ESET sobre la investigación completa del ransomware TorrentLocker, ahora podemos aclarar algunas cosas sobre un curioso miembro de la familia de malware que usa la extorsión para exigirles a los usuarios infectados el pago de un rescate.
En la mayoría de los casos, el ransomware es o “bloqueador de pantalla” o del tipo “codificador de archivos”. Cuando un codificador de archivos cifra los archivos en el disco rígido de la víctima, no suele bloquear la pantalla ni prevenir que la víctima utilice su equipo de alguna otra forma. La notificación del rescate se muestra de diversas maneras, por ejemplo, en la imagen del fondo de pantalla, en un archivo de texto o, lo más común, dentro de una ventana emergente normal (este también fue el método que usó Cryptolocker).
En algunos casos, el ransomware adopta un enfoque híbrido: cifra archivos a la vez que bloquea la pantalla mediante un mensaje que ocupa la pantalla completa y bloquea los métodos simples para cerrarla. Un ejemplo de esta conducta es Android/Simplocker: el primer codificador de archivos para Android.
En octubre descubrimos un enfoque nuevo, nunca antes visto: Win32/VirLock es un ransomware que bloquea la pantalla y luego no solo cifra los archivos existentes, sino que también los infecta añadiendo su cuerpo al comienzo de los archivos ejecutables, de modo que actúa como un virus parasitario. Sophos también escribió en su blog sobre este interesante malware.
El mes pasado observamos muchas variantes del virus. Esto demuestra que el autor del malware se mantuvo ocupado trabajando en su creación. De hecho, el virus se asemeja a un experimento malicioso y, debido a su naturaleza polimórfica, nos recuerda a los virus de la era del DOS, como el Whale. La forma en que se implementa VirLock demuestra un alto nivel de habilidades de programación, pero aún así, algunas de sus funcionalidades parecen carecer de lógica, lo que resulta desconcertante.
En esta publicación ofrecemos información general sobre la conducta de esta amenaza y explicamos qué lo convierte en un virus polimórfico.
Información general sobre Win32/VirLock
Un archivo infectado con VirLock estará integrado en un archivo Win32 PE con la extensión .EXE añadida a su nombre, a menos que ya se tratara de un archivo ejecutable originalmente. Cuando se ejecuta, descifra el archivo original integrado en su cuerpo, lo coloca en el directorio actual y lo abre. Más adelante en este artículo se describen los métodos de descifrado. Esta conducta lo diferencia claramente de otros codificadores de archivos típicos.
A continuación, VirLock se instala colocando dos instancias con nombres aleatorios de sí mismo en los directorios %userprofile% y %allusersprofile% (no son copias, ya que el virus es polimórfico, por lo que cada instancia es única), y agrega entradas en las claves de registro Run bajo HKCU y HKLM para que se inicien cuando arranca Windows. Luego se inician estas instancias, que solo contienen el cuerpo del virus (sin el archivo host para descifrar).
Las variantes más recientes de VirLock también colocan una tercera instancia que se registra como un servicio. Este enfoque le sirve al malware como un simple mecanismo de defensa, ya que los procesos y los archivos se restauran si se cierran o se eliminan.
Las instancias colocadas son responsables de ejecutar los payloads propiamente dichos.
Un subproceso se ocupa de la infección de los archivos. Win32/VirLock busca archivos que le sirvan para alojarse hurgando minuciosamente en unidades locales y extraíbles, e incluso en redes compartidas, para maximizar su potencial de propagación. Las extensiones de archivos que intenta infectar difieren entre las distintas versiones de VirLock. Una lista de extensiones obtenida de una muestra reciente incluye las siguientes: *.EXE, *.DOC, *.XLS, *.ZIP, *.RAR, *.PDF, *.PPT, *.MDB, *.MP3, *.MPG, *.PNG, *.GIF, *.BMP, *.P12, *.CER, *.PSD, *.CRT, *.PEM, *.PFX, *.P7B, *.WMA, *.JPG, *.JPEG.
Artículo completo en We Live Security.