Hitler ransomware, la última bravuconada del caudillo

El ransomware es la amenaza a batir a día de hoy. Tanto usuarios como empresas son objetivos perfectos para el secuestro de información privilegiada y posterior demanda de rescate para su recuperación. Hitler ransomware no es más que otro exponente (con sus peculiaridades, eso sí) del que hablaremos hoy.

Debemos el descubrimiento de esta amenaza al investigador de AVG Jacob Kroustek.

¿Qué tiene de especial Hitler Ransomware?

Antes de nada, podemos calificar esta amenaza como diferente para lo que acostumbra el ransomware medio que podemos encontrarnos a día de hoy. Y es que esta versión no llega a cifrar ninguno de nuestros archivos, sino que establecerá un contador de tiempo que, al llegar a cero, borrará nuestros archivos para siempre.

Además, está la siempre inquietante imagen del caudillo. Si somos infectados con Hitler Ransowmare veremos una imagen del caudillo que acompaña a la ventana informativa de pago. Este ransomware (no es un cryptoransomware en esta ocasión) demanda el pago de 25 € en formato Vodafone Cash card, un tipo de tarjeta recargable.

Este malware fué visto por primera vez a primeros de Agosto de este año y parece ser una variante «en pruebas» por dos motivos. Primero, porque como he mencionado no llega a cifrar ningún archivo y segundo, por ciertos comentarios encontrados en el propio código del programa.

Así opera Hitler Ransowmare

En lugar de cifrar los archivos (y por tanto cambiar la extensión de los mismos) lo que hace es eliminar la extensión de todos los ficheros encontrados en ciertos directorios. Se establece un margen de una hora para realizar el pago demandado, período tras el cual los archivos se eliminarán de forma definitiva.

Tras ese período de 60 minutos el equipo se bloqueará, se reiniciará y se producirá el borrado de todos los archivos encontrados en el directorio %UserProfile%. El desarrollador de esta amenaza parece ser alemán, según el texto encontrado en un archivo batch incrustado.

Das ist ein Test
besser gesagt ein HalloWelt
copyright HalloWelt 2016
:d by CoolNass
Ich bin ein Pro
fuer Tools für Windows

Podemos traducirlo como:

Esto es una prueba

en lugar de un Hello World

copyright Hello World 2016

: D by Cool Wet

Soy un pro

para herramientas para Windows

Análisis técnico del ransomware

El ejecutable principal de Hitler Ransomware es el archivo batch (.bat) citado anteriormente, que ha sido transformado en un ejecutable instalador que viene con otras aplicaciones incluídas. Cuando se ejecuta, lanzará el archivo bat y mandará las siguientes órdenes para el borrado de extensiones de archivo:

%userprofile%\Pictures
%userprofile%\Documents
%userprofile%\Downloads
%userprofile%\Music
%userprofile%\Videos
%userprofile%\Contacts
%userprofile%\Links
%userprofile%\Desktop
C:\Users\Public\Pictures\Sample Pictures
C:\Users\Public\Music\Sample Music
C:\Users\Public\Videos\Sample Videos

Luego extraerá varios archivos ejecutables: chrs.exe, ErOne.vbs y firefox32.exe, todos se colocarán en la carpeta temporal de Windows (%temp%). Además, se copiará firefox32.exe en la carpeta de arranque común para que sea lanzado automáticamente al inicio del sistema.

El siguiente paso será ejecutar el script de Visual Basic «ErOne.vbs», que producirá una alerta en la pantalla indicando «El archivo no se pudo encontrar» (en inglés). Esta alerta se usa simplemente para hacer pensar a la víctima que el malware no funcionó correctamente.

Llega el momento de ejecutar el archivo chrset.exe, encargado de mostrar una pantalla de bloqueo como la mostrada al comienzo, acompañada de un temporizador que borrará nuestros archivos en una hora.

¿Qué ocurrirá cuando se agote el tiempo? El ransomware terminará el proceso csrss.exe, un proceso crítico de Windows que provocará un BSOD o un simple cuelgue. Quizá sea necesario reiniciar el equipo a la fuerza.

Cuando se produce el reinicio, el fichero firefox32.exe se ejecutará y borrará todos los archivos encontrados en la ubicación %UserProfile% del equipo, como podéis ver a continuación:

Además, mientras hace de las suyas el ransomware monitorizará la posible apertura de procesos como taskmgr, sethc o utilman, así como el cmd, para matar el proceso inmediatamente si intentamos lanzarlo.

Estos son los 4 archivos que trabajan de forma maliciosa:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\firefox32.exe
%Temp%\[folder].tmp\
%Temp%\[folder].tmp\chrst.exe
%Temp%\[folder].tmp\ErOne.vbs
%Temp%\[folder].tmp\firefox32.exe

Más información en Bleeping Computer.