Onion Ransomware: la Versión Mejorada de CTB-Locker

Una nueva variante del Onion ransomware acaba de emerger. Sin embargo, es posible que ya lo conozcas con el nombre de CTB-locker o Citroni. Sin importar su nombre, el CTB-Locker es

Una nueva variante del Onion ransomware acaba de emerger. Sin embargo, es posible que ya lo conozcas con el nombre de CTB-locker o Citroni.

Sin importar su nombre, el CTB-Locker es una variante del malware CryptoLocker que encripta los archivos en el dispositivo de su víctima y exige un pago para descifrarlos y, en consecuencia, salvarlos.

CTB Locker - Onion Ransomware

CTB-Locker, o Curve Tor Bitcoin Locker, se diferencia de otros ransomware por usar el anonimato del proyecto The Tor Project, que le permite blindarse ante cualquier intento de eliminarlo, cuyas bases se sientan en gran medida en servidores de comando y control de malware estático. El uso de Tor también ayuda a evadir la detección y el bloqueo. Otra manera de proteger los controladores de CTB-Lockers  es a través de Bitcoin, el dinero en la nube.

Locker es una amenaza muy peligrosa y uno de los codificadores tecnológicamente más avanzados que existen.

“Ocultar los servidores de comando y control en una red anónima como Tor complica la labor de los piratas informáticos, y el uso de esquemas criptográficos poco ortodoxos hace que sea imposible descifrar el archivo, incluso si el tráfico es interceptado entre el troyano y el servidor”, afirmó el año pasado Fedor Sinitsyn, analista senior de malware de Kaspersky Lab. “Todo ello hace que sea una amenaza muy peligrosa y uno de los codificadores tecnológicamente más avanzados que hay”.

De acuerdo a Sinitsy, la nueva versión de CTB –Locker -que dentro de la familia de productos de Kaspersky Lab se llama Trojan-Ransom.Win32.Onion- contiene algunas mejoras interesantes. La vulnerabilidad ofrece a sus víctimas una especie de “demo de prueba” dando a los infectados la posibilidad de elegir cinco archivos para descifrar sin pagar rescate alguno. Está disponible en tres nuevos idiomas: alemán, holandés e italiano. CTB tiene la propiedad de evadir su análisis mediante máquinas virtuales. En lugar de conectarse directamente al CTB, se conecta a través de seis servicios de anonimato adicionales con el objetivo de complicar (más) las labores de desmontaje y seguimiento.

La mejor defensa ante ésta y otras amenazas es a través de la realización de un backup de los archivos de tu computadora semanalmente. También, contar con una solución de antivirus potente y asegurarte que los programas, aplicaciones y sistemas operativos están actualizados con los parches de instalación más recientes. Una vez tu equipo se haya infectado, no hay manera de recuperar los archivos cifrados por CTB-locker. Una alternativa es pagar por el rescate; no obstante, dado que el ciber crimen es un negocio profesional orientado al consumidor y con un auge que cada día crece más, no es 100% seguro que recibas la clave para desencriptar tus archivos.

Nos guste o no, el ransomware es un negocio jugoso y su intromisión en nuestros días crecerá en la medida que nos involucremos más en el “Internet de las cosas”:

Al momento, el KAS (Kaspersky Security Center) ha detectado unos 361 intentos de infección, sobre todo en Rusia y en Ucrania. Los usuarios de nuestros productos Lab están protegidos ante éste y otros tipos de malware cifrados, a menos que tengan desactivada la característica “System Watcher”. Dicha función realiza copias de seguridad de inmediato (localmente) cuando programas sospechosos tratan de acceder al equipo. Así que por favor: asegúrate tener ejecutado el modulo a continuación.

TL; DR. Los usuarios de Kaspersky están protegidos siempre que tenga activo el “System Watche”. Ahora, si ya te infectaste, la única manera de obtener los archivos de nuevo es a través del pago por rescate, aunque ello no signifique garantía alguna. El mundo es duro.

Consejos