Descifrado CryptoHost : los archivos se comprimen en un archivo RAR protegido con contraseña


Un nuevo ransomware llamado CryptoHost fue descubierto por el investigador de seguridad Jack que indica que encripta los datos y luego exige un rescate de .33 bitcoins o aproximadamente 140 dólares para obtener los archivos de nuevo. En realidad, sin embargo, sus datos no se cifran, sino que se copian a un archivo RAR protegido con contraseña. Afortunadamente, la contraseña creada por esta infección es fácilmente descubierta por lo que los usuarios infectados pueden tener nuevamente sus archivos. Esta infección se está detectando actualmente como Ransom: MSIL / Manamecrypt.A y Ransom_CRYPTOHOST.A.

También me gustaría dar las gracias a Michael Gillespie y MalwareHunterTeam por su análisis adicional.


Cómo descifrar o recuperar los datos comprimidos por CryptoHost

Normalmente no se revela una vulnerabilidad en un ransomware mediante una nueva versión del mismo. Desafortunadamente, un determinado sitio que no será nombrado, irresponsablemente reveló el método que se puede utilizar para descifrar estos archivos, por lo que el secreto ya no lo es tanto.

Cuando CryptoHost infecta el equipo se moverá ciertos archivos de datos, que se detalla en el análisis técnico a continuación, en un archivo RAR protegido con contraseña que se encuentra en el directorio C: \ Users \ [nombre de usuario] carpeta \ AppData \ Roaming. Este archivo tendrá un nombre de 41 caracteres y sin extensión. Un ejemplo del archivo es 3854DE6500C05ADAA539579617EA3725BAAE2C57. La contraseña para este archivo es el nombre del archivo comprimido combinado con el nombre del usuario registrado. Así, por ejemplo, si el nombre del usuario es de Juan y el archivo RAR se encuentra en C: \ Usuarios \ test \ AppData \ Roaming \ 3854DE6500C05ADAA539579617EA3725BAAE2C57, la contraseña sería 3854DE6500C05ADAA539579617EA3725BAAE2C57Juan.

Para aquellos que no quieren tratar en averiguar la contraseña, puede utilizar este generador de contraseñas creado por Michael Gillespie .

Antes de comenzar, debemos primero terminar el proceso cryptohost.exe. Para ello, abra el menú Inicio y escriba usar el Administrador de tareas para ver los procesos. Cuando aparezcan los resultados de la búsqueda del Administrador de tareas, haga clic en él para iniciar el programa. Ahora haga clic en la pestaña Procesos y seleccione el proceso cryptohost.exe como se muestra a continuación. A continuación, haga clic en el botón Finalizar proceso para darlo por terminado.


Ahora, para extraer el archivo RAR protegido con contraseña con los archivos en el mismo, en primer lugar hay que instalar la aplicación 7-Zip . Una vez instalado, abra el directorio C: \ Users \ [nombre de usuario] \ AppData \ Roaming carpeta y localizar el archivo utilizando la información descrita anteriormente. Ahora haga clic derecho sobre él y seleccione la opción el Extraer a "nombredeCarpeta"(Extract to "foldername") como se muestra en la imagen de abajo.


Cuando 7-Zip le pide la contraseña, introduzca la contraseña como se ha descrito anteriormente y pulse enter. Sus datos serán ahora extraidos en un nombre de carpeta que tiene el mismo nombre que el archivo RAR. Cuando haya terminado, abra esa carpeta y copie todas las carpetas en ella a la raíz de la unidad C:. Los archivos de datos debe estar restaurado.

Cómo quitar el ransomware CryptoHost

Cuando se instala CryptoHost se creará un archivo llamado cryptohost.exe y almacenado en el directorio C: \ Users \ [nombre de usuario] carpeta \ AppData \ Roaming. Será también creado un autoejecutable llamado software que ejecutará el ransomware en cada inicio de sesión. Para eliminar esta infección, sólo tiene que terminar el proceso cryptohost.exe desde el Administrador de tareas y luego eliminar el archivo cryptohost.exe. Para quitar la ejecución automática puede eliminar esta clave del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software %AppData%\cryptohost.exe
La mayoría de los productos de seguridad deben detectar esta infección en este punto y eliminarla de forma automática si no se desea eliminar CryptoHost manualmente.

El Análisis Técnico del ransomware CryptoHost

CryptoHost Actualmente se está escondiendo en un instalador de uTorrent que cuando se instala extrae cryptohost.exe a la carpeta% AppData% y lo ejecuta. Una vez ejecutado, CryptoHost moverá todos los archivos que coincidan con determinadas extensiones en un archivo RAR protegido con contraseña que se encuentrará en la carpeta% AppData%. El nombre del archivo será un hash SHA1 con guiones eliminados.

processorId + volume_serial_number_of_c: + motherboard_serial_number
La contraseña para el archivo estará en la forma de hash SHA1 + nombre de usuario. Así que si el hash SHA1 es 3854DE6500C05ADAA539579617EA3725BAAE2C57 y el usuario es Juan la contraseña sería 3854DE6500C05ADAA539579617EA3725BAAE2C57Juan.

Las extensiones de archivos que se moverán en el archivo protegido con contraseña por CryptoHost son:

jpg, jpeg, png, gif, psd, ppd, tiff, flv, avi, mov, qt, wmv, rm, asf, mp4, mpg, mpeg, m4v, 3gp, 3g2, pdf, docx, pptx, doc, 7z, zip, txt, ppt, pps, wpd, wps, xlr, xls, xlsl
Cuando el archivo ha terminado de ser creado, el ransomware entonces realizará un listado de los ficheros del archivo y guardará esa lista en el archivo% AppData% \ Files. CryptoHost ahora mostrará la pantalla de ransomware como se muestra a continuación.


Esta pantalla se divide en cuatro subpantallas que le permiten obtener diversa información sobre la infección y listar los archivos de datos afectados. A continuación se presentan dos de estas pantallas.


captura de cómo obtener bitcoins



captura del chequeo del pago

Cuando una víctima quiere descifrar sus archivos, es necesario que haga clic en el botón de comprobación del estado de pago, que simplemente comprueba en blockchain.info cualquier pago en la dirección asignada bitcoin. Si el texto devuelto por la consulta de blockchain contiene los números exactos que figuran en la etiqueta Cuota de la interfaz de CryptoHost, entonces el ransomware extraerá los archivos. Esto significa que una víctima tiene que pagar la cantidad exacta y si se paga más, el ransomware sigue sin descifrar los archivos.

En la primera puesta de CryptoHost también tratará de eliminar en HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot con el fin de hacer que sea imposible arrancar en modo seguro. Afortunadamente, este proceso no se ejecuta sin los privilegios necesarios para eliminar esta clave.

CryptoHost vigilará también los nombres de los procesos y los títulos de las ventanas de ciertas cadenas. Si detectan que estas cadenas son las que tiene asignadas se dará por terminado el proceso asociado. En las pruebas que se realizaron este método sólo funcionaba en los nombres de procesos y no en los nombres de las ventanas. La lista de cadenas que se toman en cuenta son:

anti virus, anti-virus, antivirus, avg, bitdefender, eset, mcafee, dr.web, f-secure, internet security, obfuscator, debugger, monitor, registry, system restore, kaspersky, norton, ad-aware, sophos, comodo, avira, bullguard, trend micro, eset, vipre, task manager, system configuration, registry editor, game, steam, lol, rune, facebook, instagram, youtube, vimeo, twitter, pinterest, tumblr, meetme, netflix, amazon, ebay, shop, origin
Es interesante observar que el dev no sólo se refiere a los productos de seguridad, sino también a sitios comunes y procesos que una víctima puede querer visitar o utilizar para sus juegos. Esto se hace para incentivar aún más a la víctima a pagar el rescate.

Por último, pero no menos importante, este ransomware no se comunica con el desarrollador del software malicioso de ninguna manera y las únicas comunicaciones de red que se comprueba es del sitio blockchain.info para el pago.

Archivos asociados con la CryptoHost ransomware:

%Temp%\uTorrent.exeuTorrent.exe %AppData%\cryptohost.exe %AppData%\files %AppData%\processor.exe
Las entradas del registro asociadas con el CryptoHost ransomware:
HKCU\Software\Classes\FalconBetaAccount HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software %AppData%\cryptohost.exe