OphionLocker, Un Nuevo Ransomware utiliza Curvas Elípticas para la Encriptación, Tor para la Comunicación y Malvertising para la Propagación

Table Of Contents

• OphionLocker Ransomware utiliza Curvas Elípticas para la Encriptación, Tor para la Comunicación y Malvertising para la Propagación
• Criptografía de Curvas Elípticas
• Funcionamiento
• Ransomware volviéndose cada vez más obstinado

OphionLocker Ransomware utiliza Curvas Elípticas para la Encriptación, Tor para la Comunicación y Malvertising para la Propagación

Una nueva variedad de Ransomware ha sido descubierta por los investigadores de Trojan7Malware. Llamado OphionLocker, este Ransomware es muy único en el sentido de que utiliza criptografía de curvas elípticas para la encriptación de archivos y Tor para la comunicación. Otra firma única de OphionLocker es que utiliza campañas de malvertising para propagarse en lugar de métodos tradicionales de spear phishing.

Criptografía de Curvas Elípticas

La criptografía de curvas elípticas (ECC) es una criptografía de clave pública basada en la estructura algebraica de curvas elípticas sobre campos finitos. Uno de los principales beneficios de la criptografía ECC es que proporciona el mismo nivel de encriptación con un tamaño de claves más pequeño.

Esta forma algebraica de encriptación se basa en resolver el logaritmo discreto de un elemento aleatorio de curva elíptica. Esto, al igual que la idea más familiar de factorizar el producto de dos números primos muy grandes, ofrece una función unidireccional para respaldar la seguridad de los sistemas de criptografía de clave pública. ECC ofrece niveles equivalentes de seguridad con tamaños de clave más bajos, una ventaja particular en sistemas con potencia de computación limitada, como los teléfonos inteligentes.

Funcionamiento

Una vez que una víctima potencial ha descargado el malware al visitar un sitio web que sirve el código de malvertising, encripta los archivos disponibles y luego utiliza una URL de Tor2web para navegar hacia una página de instrucciones sobre cómo pagar para obtener la herramienta de desencriptación. Los atacantes exigen un pago de un Bitcoin por la herramienta de desencriptación, lo que se traduce en $350 según las tasas de cambio actuales. Sin embargo, el precio de la herramienta de desencriptación puede cambiar según la geolocalización de la víctima. Trojan7Malware ha proporcionado el siguiente patrón de encriptación de archivos de este Ransomware que son similares a los tipos de archivos encriptados por CryptoLocker y TorLocker.

Extensiones encriptadas;
“accdb”,0,”.ai”,0,”.arw”,0,”.bay”,0,”.blend”,0,”.cdr”,0,”.cer”,0,”.cr2″,0,”.crt”,0,”.crw”,0,”.dbf”,0,”.dcr”,0,”.der”,0,”

.dng”,0,”.doc”,0,”.docm”,0,”.docx”,0,”.dwg”,0,”.dxf”,0,”.dxg”,0,”.eps”,0,”.erf”,0,”.indd”,0,”.jpe”,0,”.jpg”,0,”.jpeg”,0,”

.kdc”,0,”.mdb”,0,”.mdf”,0,”.mef”,0,”.mrw”,0,”.nef”,0,”.nrw”,0,”.odb”,0,”.odm”,0,”.odp”,0,”.ods”,0,”.odt”,0,”.orf”,0,”

.p12″,0,”.p7b”,0,”.p7c”,0,”.pdd”,0,”.pdf”,0,”.pef”,0,”.pem”,0,”.pfx”,0,”.ppt”,0,”.pptm”,0,”.pptx”,0,”.psd”,0,”.pst”,0,”

.ptx”,0,”.r3d”,0,”.raf”,0,”.raw”,0,”.rtf”,0,”.rw2″,0,”.rwl”,0,”.srf”,0,”.srw”,0,”.wb2″,0,”.wpd”,0,”.wps”,0,”.xlk”,0,”

.xls”,0,”.xlsb”,0,”.xlsm”,0,”.xlsx”,0,0″

Un aspecto interesante de este Ransomware es que intenta ser consciente del entorno en el que está trabajando. Si el malware detecta un entorno virtual, no pedirá que se realice ningún pago. Los entornos virtuales son generalmente utilizados por investigadores de seguridad contra malwares como este.

Otra característica única de este malware es que genera un número HWID (Identificación de Hardware) para asegurar que solo se puede generar una muestra por PC.

Los autores/gestores de este malware parecen estar utilizando estas técnicas para ocultar el Ransomware el mayor tiempo posible de los investigadores de seguridad y también para poner en lista negra cualquier PC que consideren ha sido comprometida por los investigadores de seguridad.

OphionLocker es más mortal que los avatares de ransomware anteriores porque no necesita conectividad a Internet ni interacción del usuario para comenzar la encriptación. Esto se debe a que una clave pública ya está presente en la carga útil descargada por la víctima. Esto hace que sea más difícil detectar o prevenir la infección.

Ransomware volviéndose cada vez más obstinado

La propagación y la ferocidad de estos Ransomwares y los gestores/atacantes/autores parecen estar mejorando y volviéndose más audaces, utilizando técnicas de encriptación cada vez más complicadas. A pesar de la eliminación de alto perfil de CryptoLocker, el Ransomware sigue siendo una amenaza mortal para los usuarios. El avance en las técnicas adoptadas por los autores de este tipo de malware se puede notar en OphionLocker, que utiliza una encriptación de clave más pequeña con criptografía de curvas elípticas y la red de anonimato Tor para la comunicación con su servidor de comando y control.

Recurso: Trojan7Malware