El ransomware CryLocker se comunica utilizando datos UDP y lo almacena en Imgur.com


Una nueva infección llamada CryLocker, pretende ser de una organización falsa llamada the Central Security Treatment Organization, ha sido descubierta por el investigador de seguridad MalwareHunterTeam . Cuando el ransomware infecta un ordenador, cifrará los archivos de la víctima y luego añadirá la extensión .cry a los archivos cifrados. Será entonces que mostrará su demanda de aproximadamente 1,1 bitcoins, o $ 625 USD, con el fin de obtener la clave de descifrado.


Basado en el análisis realizado por el mismo, MalwareHunterTeam, y Daniel Gallagher , la infección presenta algunas características interesantes que no son comunes en el ransomware. Por ejemplo, como Cerber , este ransomware envia información sobre la víctima al servidor de comando y control usando UDP. Por otra parte, también utiliza sitios públicos tales como Imgur.com y Pastee.org para recibir información acerca de cada una de las víctimas. Por último, pero no menos importante, realiza consultas a la API de Google Maps para determinar la ubicación de la víctima utilizando SSID inalámbricas cercanas.

Este ransomware aún está siendo analizado y se ha descubierto que el descifrado es posible. Por lo tanto, las víctimas pueden querer ingresar a la *Central Security Treatment Organization para recibir las actualizaciones.

Al igual que con muchas infecciones ransomware, es difícil proporcionar un nombre descriptivo. Aunque el nombre oficial de este ransomware es CryLocker, también se le conoce como el ransomware *Central Security Treatment Organization, OTSC ransomware, o cry ransomware.

Actualización 06/09/16: Una nueva muestra fue puesto en libertad que enseña un fondo de pantalla. Este fondo de pantalla ahora utiliza el nombre CryLocker como nombre del ransomware.

El Comando y Control utiliza otros métodos de comunicación con el servidor

Cuando se infecta una víctima, el ransomware compilará una variedad de información, como la versión de Windows, el Service Pack instalado, el tipo de bits de Windows, el nombre de usuario, el nombre del equipo y el tipo de CPU instalado en el ordenador. Esta información será enviada a través de direcciones UDP 4096 a diferentes IP, siendo uno de ellos el servidor de comando y control del ransomware. El uso de paquetes UDP, probablemente lo realiza para ocultar la ubicación del servidor de comando y control para que las autoridades no pueden detectarla.


El ransomware CryLocker también subirá la misma información, así como una lista de archivos cifrados a Imgur.com. Esto lo hace mediante la recopilación de toda la información en un archivo de imagen PNG falso que después lo cargará a un álbum de Imgur designado. Una vez que el archivo se ha cargado correctamente, Imgur responderá con un nombre único para el nombre del archivo. Este nombre de archivo será transmitido a través de UDP 4096 a la direcciones IP para notificar al servidor de comando y control que una nueva víctima ha sido infectada.

Hallar la ubicación de la víctima basado en SSID cercanos

Mediante el uso de la API de Google Maps, un usuario puede determinar la ubicación de un dispositivo mediante consulta a los SSID de las redes inalámbricas cercanas. CryLocker utiliza la función WlanGetNetworkBssList para obtener una lista de las redes inalámbricas cercanas y sus SSID. A continuación, consultará a la API de Google Maps a través de estos SSID para obtener la ubicación de la víctima.

No es seguro saber por qué se está utilizando esto, pero esta información podría ser utilizada para generar una imagen de la ubicación de la víctima utilizando los mapas de Google. Usando esto haría que las víctimas entren en pánico y paguen el rescate.
Cómo CryLocker cifra los archivos

Cuando CryLocker infecta un ordenador realiza una copia de seguridad de ciertos accesos directos en el escritorio de Windows de la víctima y lo guardará en una carpeta en el escritorio llamada old_shortcuts. El propósito de esta carpeta es actualmente desconocido.

El ransomware ahora cifrar los archivos de la víctima y anexará la extensión .cry a los archivos cifrados. Los archivos que actualmente son comprometidos por este ransomware son:

.#vc, .$ac, .00c, .07g, .07i, .08i, .09i, .09t, .1pa, .1pe, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .7z, .10t, .11t, .13t, .123, .210, .500, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .arc, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac,.dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m3u, .m3u8, .m4a, .m4u, .m4v, .m10, .m11, .m12, .m14, .m15, .m16, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p7b, .p7c, .p12, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rss, .rtf, .rtp, .rw2, .rwl, .rz, .s7z, .s12, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .zip, .zipx, .zix, .zka, ._vc
Durante este proceso, se eliminarán también las instantáneas de volumen del sistema mediante el comando:

vssadmin delete shadows /all /quiet
Con el fin de proporcionar su persistencia, el ransomware creará una tarea programada llamada al azar que se activará cuando el usuario inicie una sesión en Windows.


El fondo de escritorio de la víctima también cambiará a una nota de rescate. Esta nota de rescate es la única que contiene el nombre asignado al ransomware CryLocker.


Por último, el ransomware creará notas de rescate llamado! Recovery_ [random_chars] .html y! Recovery_ [random_chars] .txt en el escritorio de la víctima.



Esta nota de rescate contendrá el ID y las instrucciones sobre cómo acceder al sitio de pago TOR como se muestra arriba. La información sobre este sitio de pago se puede encontrar desde el sitio de pago de Central Security Treatment Organization en la siguiente sección.

Sitio mediante TOR de pago a CryLocker

Las notas de rescate creados por CryLocker contienen enlaces a un sitio de pago TOR que tiene un título de la ventana de Gabinete del usuario. Cuando un usuario visita este sitio, se les pedirá que inicie sesión utilizando el código personal de su nota de rescate.


Una vez que una víctima se conecta, se les infromará que son parte de una organización falsa llamada Central Security Treatment Organization en la cual se verá el precio del rescate que la víctima debe pagar.


Otras secciones en el sitio incluyen una página de pago que muestra la dirección de pago en bitcoin que debe ser enviado. También hay una página de soporte para que la víctima pueda utilizar para comunicarse con los desarrolladores del malware.


El sitio de pago incluirá también un descifrador gratuito para un archivo para probar que realmente se puede descifrar los archivos de la víctima.


Cuando un archivo es envíado al descifrador gratuito, será decodificado mientras se espera.


En mis pruebas, sin embargo, el descifrador gratuito da un error y el archivo descifrado no se puso a disposición. Dicho esto, si usted planea pagar el rescate, es posible que desee confirmar que esta característica funciona antes de hacerlo con el fin de probar el descifrado.

Archivos asociados con el ransomware CryLocker:

%UserProfile%\AppData\Local\Temp\[random_chars].exe %UserProfile%\AppData\Local\Temp\[random_chars].tmp %UserProfile%\AppData\Local\Temp\[random_chars].html %UserProfile%\Desktop\!Recovery_[random_chars].html %UserProfile%\Desktop\!Recovery_[random_chars].txt %UserProfile%\Desktop\old_shortcuts\ C:\Windows\System32\Tasks\[random_chars] C:\Temp\lol.txt
Las entradas de registro asociadas con el ransomware CryLocker:

HKCU\Software\[same_name_as_executable]
IOC:

SHA256: 33f66a95e01e2650ea47405031d4ced2ad25db971e65a92319296ccef62b7964
Red de comunicacion:

http://imgur.com https://pastee.org/ https://maps.googleapis.com UDP Traffic to 4095 addresses. List can be found here: http://pastebin.com/2pivX5Pg