CryptoWall

CryptoWall es un virus tipo ransomware (bloqueador de sistemas) que se infiltra en el sistema

operativo del usuario a travs de un mensaje de email infectado o una descarga fraudulenta, por
ejemplo supuestos reproductores de vdeo o actualizaciones de flash. Tras entrar en el sistema con
xito, este programa malicioso encripta los archivos almacenados en el PC del usuario (*.doc,
*.docx, *.xls, *.ppt, *.psd, *.pdf, *.eps, *.ai, *.cdr, *.jpg, etc.) y exige el pago de un rescate de 500
dlares (en Bitcoins) para desencriptar los archivos.
Los ciberdelincuentes responsables de lanzar este fraudulento programa se aseguraron de que se
ejecuta en todas las versiones de Windows (Windows XP, Windows Vista, Windows 7 y Windows 8).
El virus ransomware crea los archivos:

DECRYPT_INSTRUCTION.txt

DECRYPT_INSTRUCTION.html

DECRYPT_INSTRUCTION.url

Esos archivos incluyen instrucciones para que los usuarios puedan desencriptar los archivos, entre
ellas, la utilizacin del navegador Tor (navegador web annimo). Los ciberdelincuentes ocultan su
identidad tras el navegador Tor.
Los usuarios deben ser conscientes de que, aunque no es complicado eliminar la infeccin,
la desencriptacin de los archivos afectados (encriptados con el sistema criptogrfico RSA
2048) por este programa malicioso no es posible si no se abona la suma del rescate.
En la fecha de nuestro anlisis, no se encontraron herramientas o soluciones capaces de
desencriptar los archivos encriptados por CryptoWall. Tenga en cuenta que la clave privada que
puede usarse para desencriptar los archivos se encuentra en los servidores de mando y control de
CryptoWall, gestionados por los ciberdelincuentes. La solucin ideal sera eliminar este virus
ransomware y luego restaurar los archivos a partir de una copia de seguridad.

Captura de pantalla del mensaje que se muestra en los archivos DECRYPT_INSTRUCTION.txt,

DECRYPT_INSTRUCTION.html y DECRYPT_INSTRUCTION.url:

Las
infecciones
ransomware
como
CryptoWall
(por
ejemplo: CryptoDefense, CryptorBit y Cryptolocker) deberan ser motivo suficiente para tener
siempre copias de seguridad de todos los archivos guardados en el equipo.
Tenga en cuenta que el hecho de pagar la suma del rescate exigida por este ransomware equivale a
enviar un pago (su dinero) a ciberdelincuentes; estara apoyando el modelo de negocio fraudulento
y adems no tiene garantas de que los archivos se desencriptarn en algn momento.
Para evitar que nuestros sistemas se infecten con un virus ransomware, debemos tener especial
cuidado a la hora de abrir mensajes de email. Los ciberdelincuentes usan varios ttulos atrayentes
para engaar a los usuarios y que as abran los adjuntos infectados, por ejemplo "UPS - Notificacin
de excepciones". Segn investigaciones recientes, los ciberdelincuentes tambin utilizan redes P2P
y descargas fraudulentas con este virus empaquetado para propagar CryptoWall.
Mensaje mostrado en los archivos DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html
y DECRYPT_INSTRUCTION.url:

Qu pas con sus archivos?

Todos sus archivos han sido protegidos usando un potente cifrado RSA-2048
con
CryptoWall.
Qu quiere decir esto?
Quiere decir que la estructura y datos de sus ficheros han sido cambiados de
forma irrevocable; no podr trabajar con ellos, leer o verlos, es como si los
hubiera perdido para siempre, pero con nuestra ayuda puede recuperarlos.
Cmo ha podido ocurrir esto?
Expresamente para usted, hemos generado en nuestro servidor un par de
claves secretas RSA-2048 (pblica y privada). Todos sus archivos han sido
cifrados con la clave pblica, que se ha enviado por internet a su ordenador.
La nica opcin para descifrar sus archivos es con ayuda de la clave privada
y el programa de descifrado, que se encuentran en nuestro servidor secreto.
Qu es lo que tengo que hacer?
Si no sigue las instrucciones necesarias a tiempo, cambiarn las condiciones
para conseguir la clave privada. Si le importan sus datos verdaderamente, le
aconsejamos que no pierda su tiempo valioso en buscar otras soluciones
porque no existen.

Para leer instrucciones ms detalladas, por favor visite su pgina web

personal. Abajo hay varios enlaces que le llevarn hasta all.
1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe
Si por cualquier motivo los enlaces no funcionan, siga los siguientes pasos:
1.
Descargue
e
instale
el
navegador
Tor:
hxxp://www.torproject.org/projects/torbrowser.html.en
2. Cuando finalice la instalacin, abra el navegador y espere a que se
cargue.
3. Escriba en la barra de direcciones: kpai7ycr7jxqkilp.onion/3koe
4. Siga las instrucciones de la pgina.

Captura de pantalla de un mensaje de email infectado que se usa en la distribucin de

CryptoWall:

Texto que se muestra en los mensajes de correo electrnico infectados:

De: UPS Quantum View [auto-notify (at) ups.com]

Asunto: UPS Exception Notification, Tracking Number 1Z522A9A6892487822
Discover more about UPS: Visit ups.com
At the request of the shipper, please be advised that delivery of the following
shipment has been rescheduled.
Important Delivery Information
Tracking Number: 1Z522A9A6892487822
Rescheduled Delivery Date: 14-April-2014
Exception Reason: THE CUSTOMER WAS NOT AVAILABLE ON THE 1ST ATTEMPT. A
2ND ATTEMPT WILL BE MADE PACKAGE WILL BE DELIVERED NEXT BUSINESS DAY.
Shipment Detail: 1Z522A9A6892487822

Captura de pantalla de la pasarela de pago del rescate en CryptoWall:

Mensaje que se muestra en la pgina de pago del rescate en CryptoWall:

Servicio de descifrado
Sus archivos han sido cifrados.
Para conseguir la clave de descifrado, tiene que pagar 500 USD/EUR. Si el pago no se realiza
antes de la fecha X, el coste de descifrado de los archivos se duplicar hasta los 1000
USD/EUR. Tiempo que queda antes de que se duplique la cuanta: [temporizador]
Le facilitaremos un programa especial, CryptoWall Decrypter, para desencriptar y devolverle el
control de todos sus archivos cifrados. Cmo puedo comprar CryptoWall decrypter?
1. Debe registrarse en Bitcoin Wallet
2. Compre Bitcoins: Aunque no es tan fcil comprar bitcoins, cada da se simplifica an ms.
3. Enve 1,22 BTC a la direccin de Bitcoin: 1BhLzCZGY6dwQYgX4B6NR5sjDebBPNapvv
4. Introduzca el ID de transaccin y seleccione el importe.

5. Por favor, verifique la informacin del pago y haga clic en "PAGAR".