El ransomware CTB-Locker encripta los ficheros del ordenador y además encripta dos archivos al azar con otra clave y permite que la víctima descifre 'gratuitamente' estos dos ficheros como una demostración de su funcionalidad.
Esto ayuda a aumentar la confianza de que después de pagar el rescate, el sitio podrá ser restaurado.
La prueba 'gratuita' cuesta 0,0001 BTC y de +-0.8 BTC para el resto del rescate de todos los archivos.
¿Por qué piden dinero (0.0001 BTC es solamente 4 centavos de dólar) para una prueba gratuita?
Para cada sitio cifrado, los hackers crean una nueva cartera Bitcoin con una dirección única que se publica en la página de solicitud de rescate. Por ejemplo:
1A6GJMhpPhCcM557o62scEtuVXNAFe74fa
(esta es una dirección de bitcoin real generada por un sitio comprometido)
Cuando la víctima paga el rescate, o transfere la tasa de BTC de 0.0001 para la decodificación 'gratuita', los hackers comprueban la cantidad transferida.
Si ven 0.0001 BTC, el blockchain de la cartera es agregado con una nueva transacción cuyo campo OP_RETURN contiene la clave de descifrado para los dos archivos de prueba gratuitos.
Si las víctimas pagan el rescate total, añaden una transacción con las claves para los ficheros de prueba y para el resto de los archivos cifrados.
Como usted ya puede darse cuenta, los hackers no pueden simplemente añadir la transacción OP_RETURN a una cartera vacía sin revelar su otra cartera.
Además, tienen que pagar la tasa de 0.0001 BTC para la transacción.
Esto explica por qué piden a las víctimas para transferir una tasa mínima para la decodificación de prueba “gratuita”.
Esta transferencia inicial crea un blockchain para la cartera y proporciona suficiente dinero para pagar la cuota de transacción OP_RETURN.
La tasa de 0.0001 BTC no se considera un obstáculo para la prueba 'gratuita', ya que es una muy pequeña cantidad de dinero para cualquier persona
(4 centavos de dólares hoy en día).
Unos minutos más tarde, la transacción OP_RETURN se valida y se propaga a través de los nodos distribuidos del sistema Bitcoin y se hace visible en los servicios que proporcionan información sobre blockchains.
Los hackers sugieren que sus víctimas rastreen sus transacciones en el sitio web blockhain.info. Por ejemplo, aquí hay una verdadera blockchain de 'decodificación gratuita' de un sitio afectado:
https://blockchain.info/address/1A6GJMhpPhCcM557o62scEtuVXNAFe74fa
La primera operación (verde) transfirió 0.0001 BTC para esta dirección el 13 de marzo a las 22:56.
La segunda operación (roja) transfirió 0.0001 BTC 20 minutos después.
Al hacer clic en el enlace de transacción en rojo,
https://blockchain.info/tx/e31163632307982e22b311e05d80a3aeaeca8c2a2656d4e71a4bd467de17a7c0
se observa que la tasa de operación fue de 0.0001 BTC y que tiene un valor OP_RETURN (desplácese hacia abajo hasta la sección Output Scripts), el cual decodifica a
e185da0a5b6acce8fa999e146f461558: .
En este valor, todo antes de los dos puntos es la clave de la prueba de decodificación y todo después de los dos puntos es la clave completa de decodificación del sitio web. Ya que era una transacción de 0,0001 BTC, OP_RETURN sólo contiene la clave de prueba gratuita de decodificación.
El script CTB-Locker trabaja con una versión proporcionada por la API del sitio blockexplorer.com
https://blockexplorer.com/api-ref
Aquí se ve el mismo blockchain ofrecido por la API del Blockexplorer en el formato JSON:
https://blockexplorer.com/api/addrs/1A6GJMhpPhCcM557o62scEtuVXNAFe74fa/txs
La novedad es que CTB-Locker lee las claves directamente de los servicios públicos de información de blockchain en vez de en los sitios web hackeados de terceros como suele ser normal en los ransomware.
https://blog.sucuri.net/espanol/2016/04/ransomware-de-sitios-web-ctb-locker-usa-blockchain.html