Avisos 25 de May, 2012

Variants del troià que suplanta a la Policia (actualitzat)

CESICAT-CERT ha estat alertat sobre noves variants d’infecció amb un tipus de codi maliciós que utilitza la imatge d’organismes oficials i forces policials de diferents països, com per exemple la Policia Nacional Espanyola. Una de les variants del codi maliciós indica que el bloqueig ha estat realitzat per SGAE "Sociedad General de Autores y Editores".

Aquest troià bloqueja l’equip i intenta persuadir l’usuari amb la finalitat de realitzar el pagament d'una falsa multa segons una presumpta possessió de material il•legal (pornografia infantil, terrorisme, violència contra menors, contingut multimèdia protegit por drets d’autor, etc). De manera addicional, noves variants modifiquen i xifren parcialment el contingut dels fitxers del sistema afectat.

Recursos afectats: Usuaris de Sistema Operatiu Windows que visitin una pàgina maliciosa, i no tinguin tot el programari del sistema i/o antivirus actualitzat.

Impacte: Infecció, bloqueig d’accés a l’equip.

Solució:

Recomanacions en el cas de que el teu equip estigui infectat:
No cedir al xantatge ja que l’ordinador continuarà bloquejat de totes maneres.
En cas de que no sigui vostè el responsable de l’equip infectat, contactar amb l’administrador o responsable de seguretat de la seva organització o empresa, o en el seu defecte amb CESICAT-CERT mitjançant correu electrònic a través de cert@cesicat.cat, o per telèfon al 902 112 444.

 

Recomanacions generals per tal d'evitar aquest tipus d’infeccions:
Instal•lar un antivirus amb protecció permanent i mantenir-ho actualitzat.
Actualitzar el navegador i els afegits: Java, Flash, Adobe Reader, Windows Media Player.
Activar en el navegador el bloqueig d'afegits i d'execució de codi javascript per defecte, activant-lo manualment només en llocs de confiança.
Evitar fer clic a enllaços sospitosos.
Desconfiar de notificacions redactades incorrectament i que no venguin pels canals oficials i habituals de la Policia
 

Neteja:
 
Actualitzar el vostre antivirus, i revisar si existeix firma de detecció per aquesta variant de virus, en cas contrari:
Arrancar en "mode segur" ("A prova d’anomalies"), reiniciant l’equip i clicant la tecla F8 o F5, abans de que es mostri la pantalla de càrrega del sistema Operatiu Windows, i crear un altre usuari administrador per poder iniciar sessió sense que s’executi el virus.
Una vegada tingui accés a l’equip, es realitza un anàlisis amb Malwarebytes (hi ha una versió gratuïta a la pròpia pàgina de l’antivirus), actualitzar-lo i fer una netejar completa a l’ordinador.
 

(Usuaris avançats) En cas que no es pugui iniciar amb "mode segur" s'haurà de desinfectar el sistema amb algun antivirus mitjançant un CD de recuperació:
Descarregar des de un PC confiable la imatge ISO
Realitzar la grabació de la ISO a un CD
Configurar l'equip per a que pugui arrancar desde CD/DVD
Reiniciar l'equip usant el "LiveCD"
Analitzar l'equip.
 
Discs de recuperació (Live CD):
http://windows.microsoft.com/es-ES/windows/what-is-windows-defender-offline
http://www.avira.com/en/download/product/avira-antivir-rescue-system
http://support.kaspersky.com/faq/?qid=208282173
 
(Usuaris avançats) Desxifrat dels fitxers:
 
Kaspersky Labs té una eina anomenada RannhoDecryptor amb que a partir d'una tupla de fitxers (xifrat i en clar) es pot trencar la clau de xifrat d'aquests fitxers i revertir-los a la seva versió original en el instant anterior a la reescriptura.
 
RannohDecryptor: http://support.kaspersky.com/downloads/utils/rannohdecryptor.exe
 
Instruccions pel desxifrat:
Iniciar l'escaneig
Indicar la ruta d'almenys un fitxer original sense xifrar. Per exemple nomfitxer.mp3
Indicar la ruta d'un fitxer xifrat. Per exemple loked-nomfitxer.mp3.random
Finalment, RannohDecruptor calcularà la clau i desxifrar els fitxers de forma automàtica.
 
http://support.kaspersky.com/faq?chapter=176492791&print=true&qid=208286527


Detall: Aquest codi maliciós utilitza el kit d'explotació "Blackhole" per a la seva propagació, d’aquesta forma quan l’usuari visita el lloc web maliciós (enllaç rebut mitjançant correu brossa,xarxes socials, pàgines legítimes que han estat compromeses, sistemes de comunicació...), s'intenten aprofitar vulnerabilitats de seguretat associades al Sistema Operatiu i dels seus múltiples afegits (Java, Flash, Adobe, Windows Media Player...) amb la finalitat d’executar-se i instal•lar el troià.
 
Aquest kit és un dels més populars entre els cibercriminals a l’actualitat, i un dels més actualitzats amb exploits. No obstant, fins a la data de publicació d'aquesta nota, totes les vulnerabilitats que utilitza son públiques, i existeix pegat o actualització per posar-hi solució.
 
Una vegada  l’usuari  s’ha infectat, el troià bloqueja l’equip, no deixa que l’usuari pugui realitzar cap acció, i demana el pagament de una multa per suposada possessió de material il•legal (pornografia infantil, terrorisme, violència contra menors, contingut multimèdia protegit per drets de autor). Aquest tipus de codi maliciós que sol•licita  rescat, a canvi de tornar a l’usuari la seva informació, o control de l’equip compromès, s’anomena "ransomware" (ransom és "rescat" en anglès).

 


Accions que realitza la nova variant de codi maliciós (Trojan-Ransom.Win32.Rannoh / PWS-Zbot.gen.zy versió:20120522):
 
Bloqueig del PC, impedeix l'accés en mode segur i xifrat de fitxers.
 
Patró de xifrat de fitxers:  locked-filename.ext.4charsaleatoris (pex.: locked-fooname.txt.sfdj)
 
Els fitxers locked-* tenen els primers 4096 bytes xifrats. A partir del byte 4097 continua el fitxer en text clar i llegible, aquest fet fa que aquest no pugui ser obert per l'aplicació associada a la extensió i esdevingui inutilitzable.
 

Recordem, que encara que es pagui el rescat, no es recupera l’accés a l’equip.
 

Els diferents troians  identificats amb un comportament similar, poden haver més:
 
Trojan:Win32/Ransom.FS
Trojan:Win32/Ransom.DU
Trojan:Win32/Ransom.FL
Trojan:Win32/Lockscreen.BO
 
Organismes identificats amb suplantació d’imatge:
España Policia Nacional
SGAE
 

Alemanya: "Bundes Polizei" (Policía).
GEMA (Societat de drets d’autor alemana, similar a la SGAE)
 
Suissa: Departament Federal de Justícia i Policia
Regne Unit: "Metropolitan Police"
Holanda: "Politie".
França "Gendarmerie nationale"

Alies de la nova variant: Trojan-Ransom.Win32.Rannoh / PWS-Zbot.gen.zy versió:20120522

 

 

 

Refs:

Oficina de seguridad del internauta (Virus que muestra un falso mensaje de las SGAE) 

Una al día de Hispasec 

Entrada en el bloc de Microsoft Malware Protection Center 

INTECO – Avís de Seguretat i solució pas a pas d’INTECO-CERT

POLICIA NACIONAL – Avís de seguretat 

MalwareBytes 

 

Publicat a: Avisos