Zenis Ransomware cifra sus datos y elimina copias de seguridad.

Este tipo de Ataques, denominados Ransomware (Ransom “rescate” Ware “Software”) están
circulando en la red hace un par de años, revisemos un poco la historia de esta modalidad para así
tratar de entender su evolución.

Desde el año 2012 se comenzó a esparcir un ransomware llamado "Reveton" Este estaba basado en
el troyano Citadel; el cual estaba a su vez, basado en el troyano Zeus. Básicamente desplegaba un
mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde se
encuentra la víctima. Por esta característica en particular se comenzó a nombrar como "Trojan cop".

En septiembre de 2013 reaparece el ransomware; esta vez basado en el cifrado de archivos, también
conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que
se controla el servidor y se cifran archivos de un tipo de extensión específica. El virus elimina la clave
privada a través del pago de un bitcoin o un bono prepago en efectivo dentro de los tres días tras la
infección. En agosto de 2014, Avast reportó nuevas variantes de Reveton, donde se distribuía
software malicioso con el fin de robar contraseñas.

En septiembre de 2014, una nueva ola de ransomware llegó a sus primeros objetivos en Australia,
denominados "CryptoWall" y "CryptoLocker". Las infecciones se propagaban a través de una cuenta
de correo australiana falsa, la cual enviaba un correo electrónico notificando entregas fallidas de
paquetes. De este modo evitaba los filtros antispam y conseguía llegar a los destinatarios. En este
mismo año apareció TorrentLocker, que es otro tipo de infección con un defecto, ya que usaba el
mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado pasó a ser trivial
pero antes de descubrirse ya habían sido 9000 los infectados en Australia y 11 700 en Turquía.

CryptoWall 3.0 ha sido reportado desde enero de 2015 como una infección que surge donde hackers
rusos se encuentran detrás de esta extorsión; luego de este hizo su aparición TeslaCrypt es uno de
los ransomware considerados como eliminados ya que la clave maestra para el descifrado de los
ficheros atacados es pública. Existe una herramienta gratuita de la empresa ESET que permite
realizar este trabajo.

Finalizando el 2016 fue descubierto un nuevo ransomware de cifrado de disco completo (FDE - Full
Disk Encryption), llamado "Mamba". Este utiliza una estrategia de cifrado a nivel de disco en lugar
de uno basado en archivos convencionales. Para obtener la clave de descifrado, es necesario
ponerse en contacto con alguien a través de la dirección de correo electrónico proporcionada. Sin
eso, el sistema no arranca.

El 12 de mayo de 2017 apareció WanaCrypt0r o también conocido como "WannaCry" con origen en
el arsenal estadounidense de malware Vault 7 revelado por Wikileaks pocas semanas antes, el
código malicioso ataca una vulnerabilidad descrita en el boletín MS17-010 en sistemas Windows
que no estén actualizados de una manera adecuada. Provocó el cifrado de datos en más de 75 mil
ordenadores por todo el mundo. Luego de este ataque a escala mundial se conoce Not Petya aunque
este ransomware pide un rescate de 300 dólares a ingresar en una cartera bitcoin, la motivación
tras el ataque parece muy distinta. Por ejemplo, no cifra archivos PNG, y se centra en archivos con
extensiones de lenguajes de programación como los de Python, Visual Basic.
Otra variante de Mamba se ha identificado el 7 de septiembre 2017 durante un procedimiento de
respuesta a incidentes por parte de Renato Marinho, un experto en seguridad de Morphus
laboratorios. Esta amenaza de malware utiliza el cifrado a nivel de disco que causa mucho más daño
que los ataques basados en archivos individuales. Los desarrolladores criminales han utilizado el
DiskCryptor para cifrar la información., una herramienta de código abierto.

Luego de este recorrido en donde mencionamos los ransomware más conocidos, esta semana fue
descubierto un nuevo ransomware llamado Zenis, el hallazgo lo realizó MalwareHunterTeam. En la
actualidad aún se desconoce cómo se está distribuyendo Zenis; muchas víctimas ya se han infectado
y lo más preocupante de esta amenaza, es que además de cifrar los archivos; también elimina
intencionalmente las copias de seguridad.

En el momento que MalwareHunterTeam encontró la primera muestra, este estaba utilizando un

método de encriptación personalizado al encriptar archivos. La última versiónde Zein, utiliza el
cifrado AES para encriptar los archivos.

Por ahora no hay manera de descifrar los archivos encriptados por Zenis, pero Michael Gillespie está
analizando el ransomware en busca de debilidades.

Para evitar ser víctima de ransomware en general, es importante tener buenos hábitos informáticos
y software de seguridad. Inicialmente, se debe tener una copia de seguridad confiable de sus datos,
que se pueda restaurar en caso de una emergencia.

Como Zenis Ransomware puede instalarse a través de servicios de Escritorio remoto pirateados, es
importante asegurarse de que esté bloqueado correctamente. Es decir, asegurarse de que ninguna
computadora con servicios de escritorio remoto activados esté conectada directamente a Internet.
Si es requerido tener activo este servicio, coloque las computadoras que ejecutan el escritorio
remoto detrás de las VPN para que solo puedan acceder a ellas quienes tengan cuentas VPN en su
red.

También es muy importante tener un software de seguridad que dentro de sus funcionalidades
incorpore detecciones de comportamiento para combatir el ransomware y no solo detecciones de
firmas o heurística.

Finalmente en bleepingcomputer.com, recomiendan:

 Respaldo, Respaldo, Respaldo!

 No abra archivos adjuntos si no sabe quién los envió.
 No abra archivos adjuntos hasta que confirme que la persona realmente los envió,
Escanee archivos adjuntos con herramientas como VirusTotal.
 ¡Asegúrese de que todas las actualizaciones de Windows estén instaladas tan pronto como
salgan! También asegúrese de actualizar todos los programas, especialmente Java, Flash y
Adobe Reader. Los programas antiguos contienen vulnerabilidades de seguridad que los
distribuidores de malware suelen explotar. Por lo tanto, es importante mantenerlos
actualizados.
 Asegúrese de utilizar algún tipo de software de seguridad instalado que use detecciones de
comportamiento o tecnología de lista blanca.
  Use contraseñas fijas y nunca reutilice la misma contraseña en múltiples sitios.

Para consultar los detalles técnicos, visite:

https://www.bleepingcomputer.com/news/security/zenis-ransomware-encrypts-your-data-
and-deletes-your-backups/

http://54.204.81.18/news/stories/2806012-zenis-ransomware-encrypts-your-data-deletes-your-
backups

https://blog.knowbe4.com/zenis-ransomware-encrypts-your-data-deletes-your-backups