CryptoLocker

¿Qué es?

CryptoLocker, también conocido como Crilock, es un malware de tipo ransomware que se enfoca en infectar dispositivos Windows para extorsionar mediante el cifrado de archivos y el cobro de un rescate para liberar sus datos.

¿Qué hace?

Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:

Cifra tipos de archivos comunes en discos locales y unidades de red usando criptografía de clave pública (RSA) y bloquea el acceso del usuario.
Busca y cifra archivos también en unidades remotas (comparticiones/red mapeada) para intentar ampliar el impacto en redes corporativas.
Bloquea el escritorio con una página a pantalla completa y opciones de pago (Bitcoin, MoneyPak, Ukash, etc.) que impide el uso normal del equipo.
Muestra notas de rescate con cuentas atrás y exige un pago para supuestamente entregar la clave privada de descifrado.
Aplica notas de rescate por carpeta y, según la variante, añade o extiende la extensión de los archivos cifrados, como, por ejemplo, con .cryptolocker o .encrypted.
Se lanza desde el inicio para mantener el bloqueo de los archivos hasta el pago o la limpieza.
Persiste en el sistema con la creación de una copia en %APPDATA%\Roaming\{GUID}.exe y su inclusión en el inicio en la clave de Registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run ("CryptoLocker").
Contacta con sus servidores de mando y control (C2) para obtener claves y órdenes durante el proceso de cifrado.
Se distribuye en campañas masivas de phishing y, en muchos casos, mediante la botnet Gameover Zeus como canal de entrega.

Sistemas afectados

Los principales dispositivos afectados son:

Sistemas con Microsoft Windows.

¿Cómo me infecta?

Este malware infecta a los dispositivos, sobre todo, a través de correos electrónicos de phishing con archivos adjuntos maliciosos disfrazados y a través de la descarga por otros programas maliciosos (downloader y/o botnet).