TeslaCrypt Ransomware, o terror en la vida real.

Hasta hace no mucho, tenía (todavía) que enfrentarme al virus informático este que oculta todos los archivos contenidos de un pendrive y creaba accesos directos con el mismo nombre de tus archivos, pero dirigidos al ejecutable que realizaba la autocopia una y otra vez.

Hoy era un día normal, hasta que me pidieron apoyo los compañeritos de soporte por que no podían recuperar unos archivos, pensé que era el caso del virus del párrafo de arriba, pero, verificando los síntomas son:

  • Archivos con extensión .vvv
  • En un inicio los archivos parecen completamente legibles, pero al darles click o realizar cualquier acción, cambian a la extensión mencionada
  • Los archivos tal pareciera que desaparecen como magia, dejando solo dos archivos, un TXT y un HTML con el nombre “How_recover+abr”

Los compañeros ya le habían instalado no se cuantas chucherías que segun ellos si funcionan y aunque hacia detecciones y eliminaciones, simplemente nada funcionaba.

Leí un poco, sobre todo de twitter, es mi mayor fuente de información le tengo confianza por el feeling que da al buscar con un hashtag y sobre todo por que es en tiempo real.

Llegué a Cryptolocker, un ransomware descubierto con baja incidencia por ahí de marzo de este año, para la primera versión de este virus, Cisco detecto una vulnerabilidad en el payload con lo que pudieron crean una herramienta para poder arreglar el caos que ocasiona.

Este virus básicamente secuestra tu información, no lo pongo entre comillas por que eso hace, la secuestra, encripta tu información y exige un pago para obtener los medios para desencriptarla, de lo contrario simplemente no puedes abrir ningún archivo.

Bueno, como ya no fué negocio para quien lo creo, surgieron muchas variantes ya que el tipo que lo creo vendió o regaló el código fuente y pues la gente holgazana busca dinero fácil, todos estos cambios al código, le permitieron evolucionar al Crypto Tesla que desde el 27 de noviembre 2015, a presentado un incremento de incidencias hasta en un 600%.

Bien regresando al punto, la computadora infectada recibió un supuesto mail del SAT, este a su vez descargo un zip con un exe y al ejecutarlo, todo valió madre, se ejecuta un script java que descarga un archivo que se instala como servicio de sistema.

Ya como servicio de sistema, evita que se edite el registro, la consola, el taskmanager, vaya cualquier acción que permita borrarlo o bloquearlo, al ser un servicio del sistema conflictúa a windows al intentar borrarlo con un antivirus, hasta causar un reinicio, borra todos los puntos de restauración y en resumen hace un desmadre.

La peculiaridad del bicho, es que cualquier acción que intentes sobre los archivos los encripta, te das cuenta por que les cambia la extensión a .vvv y van “desapareciendo”, esto es por que ya no aparecen en carpetas, pero en algún lado deben estar, ya que los archivos html y txt que deja dan instrucciones precisas de como realizar un pago y poder tener tu información a la normalidad.

Trae links que solo se pueden abrir con Tor, en ellos te pide brincar un captcha, para después decirte que tienes que pagar 1.1 Bitcoins, equivalente a 500 dólares norte americanos, además de un plazo en horas para poder realizarlo, de lo contrario el monto se duplicara.


De momento la única forma de recuperar tu información es pagando o que tengas un respaldo.
Trate de hacer un resumen, realmente la explicación técnica es muy larga y aburrida.

Sean cuidadosos con los correos que les llegan a su correo de trabajo, muy cuidadosos, por suerte yo uso linux y me la peló.

No está de más sean precavidos.

Deja una respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.