Ransomware TrueCrypter permite pagar con tarjetas regalo

Este curioso ransomware permite, en algunos casos, recuperar los archivos sin hacer nada, mientras en otros se pierden los archivos para siempre -aunque paguemos- debido a un fallo en el código de TrueCrypter.

El ransomware TrueCrypter busca que pagues tu rescate con tarjetas regalo de Amazon. Sin embargo, debido a un error interno ni siquiera es útil pagar, pues simplemente presionando el botón «Pay», sin haber emitido pago alguno, resultará en el descifrado de nuestros archivos y la desaparición del malware para siempre. Curioso, ¿no?

Inicialmente identificado por Jakub Kroustek, un ingeniero especialista en ingeniería inversa de malware en AVG, consideramos a TrueCrypter más «un intento de» que un ransomware funcional en sí mismo.

Comportamiento del ransomware TrueCrypter

Desde Bleeping Computer se explica que, cuando Truecrypter es inicialmente instalado, lo primero que hace es observar su entorno, buscando de forma secuencial estas herramientas de software, que podría facilitar a un analista el estudio del malware:

1. Sandboxie
2. Antilogger
3. Wireshark
4. Fiddler
5. Otros procesos relacionados con estudio de muestras

En el supuesto de que los tests no muestren nada, el ransomware comienza lanzando una cadena codificada con Caesar-21, cargando los ajustes de configuración para comunicarse con la dirección de su C&C (servidor remoto), dirección de pago con Bitcoin y otros relacionados.

Después, llega el momento de cifrar los archivos de la víctima, mediante el uso de extensión .ENC en cada archivo afectado, utilizando para ello mecanismo AES-256. Además, se encargará de borrar las Shadow Copies de Windows antes de mostrarnos sus demandas económicas.

Pagando ransomware con tarjetas regalo

Quienes estén afectados por el ransomware TrueCrypter tendrán dos formas de pago, algo inusual hasta ahora:

• Bitcoins
• Tarjetas regalo de Amazon

Consideramos bastante extraño el uso de tarjetas regalo. Al contrario de los Bitcoins, las tarjetas regalo de Amazon no son anónimas y podrían ser fácilmente rastreadas por la empresa. Digamos que el creador del malware se está arriesgando demasiado, quizá intentando facilitar el pago para así asegurarse de cobrar.

Otro ransomware de reciente aparición -llamado Cyber.Police– ya mostró esta fórmula de cobro. Esta muestra opera en sistemas Android y es descrito de la siguiente forma:

El ransomware no amenaza con (o de hecho lleva a cabo) cifrar los datos de la víctima. En su lugar, el dispositivo es mantenido en un estado «congelado» en el que no puede ser utilizado para nada más que realizar el pago demandado por los cibercriminales, en forma de dos códigos de tarjetas regalo para iTunes de Apple. Esto es inusual porque es mucho más común hoy en día la demanda de monedas no trazables (cryptomonedas), como los Bitcoins.

En teoría, la utilización de tarjetas regalo de Amazon o iTunes permitiría a las empresas realizar un rastreo de las transacciones, algo que pondría en riesgo a los atacantes. Esto puede ser un síntoma del nivel amateur o poca experiencia de la persona o grupo responsable de su diseño.

¿Es posible recuperar archivos cifrados por TrueCrypter?

Blue Coat Systems descubrió recientemente que, en el caso del ransomware Cyber.Police, aún se podrían copiar todos los archivos sin modificar desde la memoria interna del aparato Android afectado. Además, este malware desaparece definitivamente tras un «factory reset«.

En el caso de TrueCrypter, es incluso peor. Cuando un usuario presiona el botón Pagar, el ransomware envía el texto del campo de texto txtTransactionId junto con la clave pública. Después, empieza un loop (cada minuto realiza un chequeo) para intentar recuperar la clave privada desde el servidor.

Sin embargo, si el servidor está fuera de línea, o si la solicitud da un error -por ejemplo por un timeout, bloqueo de firewall del equipo, etc- el loop se detendrá, hará una comprobación y comenzará el cifrado de datos. Aquí llega lo más curioso: en este caso, TrueCrypter utilizará el mensaje de error a modo de clave privada.

En este momento, el servidor sólo está accesible 4 de cada 10 veces, ofreciendo el resto errores de «tiempo agotado». Si el usuario es afortunado y presionó el botón mientras el servidor estaba en línea, este seguramente habrá respondido con la clave privada, provocando que el ransomware les devuelva los archivos gratis.

Son buenas noticias. Las malas llegan para quienes puedan haber sido afectados con el ransomware mientras los servidores estaban inaccesibles, pues no existe forma de recuperar sus archivos (ni siquiera pagando).

Me reitero una vez más: prevenir es curar. Cread copias de seguridad regularmente y guardadlas en lugar seguro (que no pueda ser afectado por este tipo de amenazas), sed cautos y usad una buena defensa perimetral.