Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/12/2014
Win32/VirLock, primer ransomware polimòrfic que s'autoreproduïx
Win32/VirLock és un ransomware que bloqueja les pantalles de les víctimes i també actua com un virus parasitari, ja que infecta els arxius existents dels equips. A més, és polimòrfic, la qual cosa el convertix en un tipus de malware molt interessant per a analitzar. Esta és la primera vegada que observem una combinació de funcionalitats malicioses d’este tipus.
Després de la publicació de l’article d’ESET sobre la investigació completa del ransomware TorrentLocker, ara podem aclarir algunes coses sobre un curiós membre de la família de malware que usa l’extorsió per a exigir als usuaris infectats el pagament d’un rescat.
En la majoria dels casos, el ransomware és o “bloquejador de pantalla” o del tipus “codificador d’arxius”. Quan un codificador d’arxius xifra els arxius en el disc dur de la víctima, no sol bloquejar la pantalla ni previndre que la víctima utilitze el seu equip d’alguna altra manera. La notificació del rescat es mostra de diverses maneres, per exemple, en la imatge del fons de pantalla, en un arxiu de text o, el més comú, dins d’una finestra emergent normal (este també va ser el mètode que va usar Cryptolocker).
En alguns casos, el ransomware adopta un enfocament híbrid: xifra arxius alhora que bloqueja la pantalla per mitjà d’un missatge que ocupa la pantalla completa i bloqueja els mètodes simples per a tancar-la. Un exemple d’esta conducta és Android/Simplocker: el primer codificador d’arxius per a Android.
A l’octubre vam descobrir un enfocament nou, mai vist abans: Win32/VirLock és un ransomware que bloqueja la pantalla i després no sols xifra els arxius existents, sinó que també els infecta afegint el seu cos al començament dels arxius executables, de manera que actua com un virus parasitari. Sophos també va escriure en el seu blog sobre este interessant malware.
El mes passat vam observar moltes variants del virus. Açò demostra que l’autor del malware es va mantindre ocupat treballant per a crear-lo. De fet, el virus s’assembla a un experiment maliciós i, a causa de la seua naturalesa polimòrfica, ens recorda els virus de l’era del DOS, com el Whale. La manera en què actua VirLock demostra un alt nivell d’habilitats de programació, però, encara així, algunes de les seues funcionalitats pareixen no tindre lògica, la qual cosa resulta desconcertant.
En esta publicació oferim informació general sobre la conducta d’esta amenaça i expliquem què el convertix en un virus polimòrfic.
Informació general sobre Win32/VirLock
Un arxiu infectat amb VirLock estarà integrat en un arxiu Win32 PE amb l’extensió .exe afegida al nom, llevat que ja es tractara d’un arxiu executable originàriament. Quan s’executa, desxifra l’arxiu original integrat en el seu cos, el col·loca en el directori actual i l’obri. Més avant, en este article es descriuen els mètodes de desencriptació. Esta conducta el diferencia clarament d’altres codificadors d’arxius típics.
A continuació, VirLock s’instal·la col·locant dos instàncies amb noms aleatoris de si mateix en els directoris %userprofile% i %allusersprofile% (no són còpies, ja que el virus és polimòrfic, per la qual cosa cada instància és única), i afegix entrades en les claus de registre Run davall HKCU i HKLM perquè s’inicien quan arranca Windows. Després s’inicien estes instàncies, que només contenen el cos del virus (sense l’arxiu host per a desxifrar).
Les variants més recents de VirLock també col·loquen una tercera instància que es registra com un servici. Este enfocament servix al malware com un simple mecanisme de defensa, ja que els processos i els arxius es restauren si es tanquen o s’eliminen.
Les instàncies col·locades són responsables d’executar els payloads pròpiament dites.
Un subprocés s’ocupa de la infecció dels arxius. Win32/VirLock busca arxius que li servisquen per a allotjar-se furgant minuciosament en unitats locals i extraïbles, i inclús en xarxes compartides, per a maximitzar el seu potencial de propagació. Les extensions d’arxius que intenta infectar diferixen entre les distintes versions de VirLock. Una llista d’extensions obtinguda d’una mostra recent inclou les següents: *.EXE, *.DOC, *.XLS, *.ZIP, *.RAR, *.PDF, *.PPT, *.MDB, *.MP3, *.MPG, *.PNG, *.GIF, *.BMP, *.P12, *.CER, *.PSD, *.CRT, *.PEM, *.PFX, *.P7B, *.WMA, *.JPG, *.JPEG.
Article complet en We Live Security.