Si bien CryptoWall 2.0 es un malware que hace lo mismo que el conocido CryptoLocker, de acuerdo a un análisis realizado por los especialistas en Seguridad Informática de Cisco, se puede afirmar que no estamos en presencia de una copia mejorada sino de un desarrollo mucho más sofisticado.
Cuando se analiza la acción de CryptoWall 2.0, llaman la atención las palabras que escogió el desarrollador en su mensaje: Los archivos no han sido “secuestrados”, sino “protegidos”. Agrega que su estructura ha “cambiado irrevocablemente”, y que la víctima “no debe perder tiempo” buscando soluciones alternativas porque “no existen”. Informa al propietario del equipo atacado que la única manera de resolver la situación es realizando un pago cuanto antes, utilizando una de las direcciones de la red Tor que el propio CryptoWall provee.
Andrea Allievi y Earl Carter del llamado Grupo Talos de seguridad en Cisco revelaron varios aspectos técnicos de este nuevo malware. En primer lugar, fue desarrollado en 32 bits para lograr un mayor alcance. Sin embargo, tiene la capacidad de detectar si el sistema Windows que está atacando es de 64 bits, a partir de lo cual cambia a un modo x64. El módulo inicial llega a la computadora atacada bajo una maniobra de phishing convencional, aprovechando luego diferentes vulnerabilidades en Windows que posibilitan la elevación de privilegios. También se han detectado versiones infectando sistemas a través de archivos PDF maliciosos. Todos los componentes que forman parte de la instalación de CryptoWall 2.0 están cifrados y posee una función para detectar la presencia de una máquina virtual. Sus creadores tomaron en cuenta que los analistas de malware utilizan sistemas virtualizados cuando estudian el comportamiento de código malicioso, por lo tanto, CryptoWall verifica que no existan en memoria procesos vinculados a VirtualBox, VMWare, e incluso Sandboxie.
Después de desactivar todas las medidas de seguridad integradas a Windows y de crear un falso proceso svchost.exe, CryptoWall descarga un cliente Tor para ofuscar sus comunicaciones con la red de comando y control. La versión que investigaron los expertos de Cisco apunta a dominios registrados en Rusia, y cada uno de esos dominios se resuelve en una dirección IP de ese país.