EDA2 fue publicado por un estudiante turco y con fines educativos pero que, como ocurre siempre, está siendo utilizado para hacer el mal y, si bien el proyecto ha sido abandonado, está sido utilizado como base para otros ransomware, incluyendo Magic y .locked.
Este ransomware ha llegado, como su nombre indica, por sorpresa a todos los usuarios. Las víctimas del mismo se han encontrado con que, de repente, de un día para otro todos sus ficheros habían sido cifrados añadiendo la extensión ".surprise" en todas las fotos, documentos y archivos personales del sistema. Una vez finalizada la infección, el malware deja en el escritorio 3 archivos con las instrucciones necesarias para recuperarlos. El autor de este ransomware se esconde tras dos cuentas de correo, una en ProtonMail y otra en Sigaint
Este ransomware utiliza un algoritmo AES-256 para cifrar los archivos con una clave maestra RSA-2048, la cual se almacena en un servidor remoto de control. Este malware es capaz de detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad, salvo que estas se almacenen idénticas en una unidad externa desconectada del equipo en el momento de la infección.
Para recuperar los archivos, el delincuente pide un pago de 0.5 Bitcoin, unos USD 200, sin embargo, según el tipo y el número de archivos que se hayan cifrado, el pago puede ascender hasta los 25 Bitcoin, unos 10.000 euros.
El ransomware en sí no es ninguna sorpresa, ya que a grandes rasgos es como cualquier otro. Lo realmente curioso de él es la forma de infectar a los usuarios. Aunque al principio no había nada claro, según aumentó el número de víctimas se pudo observar un patrón, y es que todas ellas tenían instalada la herramienta de control remoto TeamViewer v10.0.47484 en sus sistemas. Analizando los registros de esta herramienta, todas las víctimas han podido ver cómo un usuario no autorizado se había conectado a sus equipos, había descargado un fichero llamado "surprise.exe" (el ransomware) y lo había ejecutado manualmente, dando lugar así a la infección. No se sabe cómo el delincuente informático logró conectarse a los servidores TeamViewer para distribuir Surprise.
La primera de ellas, aunque un poco complicada, es que exista una vulnerabilidad zero-day que le permita conectarse de forma remota a cualquier servidor TeamViewer. Los responsables de seguridad de TeamViewer han auditado su herramienta tras las primeras infecciones y aseguran que esto no es posible, lo que nos lleva a la segunda opción.
La segunda de ellas, y probablemente más probable, es que utiliza una herramienta de escaneo de red para detectar cualquier servidor TeamViewer conectado y, posteriormente, consigue acceder a los sistemas de sus víctimas mediante ataques de fuerza bruta.
Tanto las empresas de seguridad como los responsables de seguridad de TeamViewer están estudiando el caso para poder arrojar luz sobre cómo ha sido posible que un pirata informático haya podido distribuir este nuevo ransomware a través de esta herramienta de control remoto. El dapartameto de soporte técnico de Prese Ingeniería recomienda actualizar TeamViewer a su última versión.
Los responsables de esta herramienta de control remoto también recomiendan a todas las víctimas acudir a sus correspondientes departamentos de policía con el fin de poner una denuncia y poder ayudar, en todo lo posible, a la identificación de los responsables.
También es recomendable no pagar ya que, aunque lo hagamos no tenemos la garantía de recuperar nuestros archivos, especialmente cuando los últimos pings contra el servidor C&C no han devuelto respuesta.
Actualización: El departamento de soporte técnico de Prese Ingeniería explica en su post que se ha descubierto que la cuenta de TeamViewer ID 479440875 fue utilizada en varios de los sistemas infectados, pero no en todos ellos, por lo que se sigue recomendando cambiar la clave y activar la doble autenticación.