Ramsonware, cada vez mas peligroso!

PorDiego

Ramsonware, cada vez mas peligroso!

El ransomware es un tipo de malware que “secuestra” la computadora, smartphone o los archivos que contiene, pidiendo un “rescate” para permitirnos usar de nuevo el dispositivo o que podamos recuperar los archivos.

¿Qué tipos de ransomware hay?

En principio podemos hablar de dos tipos según sus funcionalidades:

Secuestro del dispositivo: bloquea la PC o smartphone mostrando una pantalla que “simula” ser de alguna entidad con un mensaje alarmante. En España se presentó como el “virus de la SGAE” y el “Virus de la Policía” al igual que en latinoamérica. Este último nos informa que debido a acceder a páginas con contenidos ilegales, nuestro equipo estará bloqueado hasta que paguemos una sanción. En el caso de la SGAE informa sobre contenidos con copyright. En muchos casos por el miedo a que se hiciera público, las víctimas pagaban (siempre mediante empresas de envío de efectivo).

Capturas de pantalla del virus de la SGAE (España) y de la Policía (Argentina).

ramsonware0 ramsonware1

Secuestro de archivos: este malware cifra los archivos de las unidades de almacenamiento que tenga acceso el equipo. Muestra un mensaje indicando que se han cifrado los archivos y que para poder recuperarlos hay que hacer un pago, normalmente en Bitcoins, para recibir la clave y el programa para descifrarlos. El hecho de pagar no garantiza absolutamente nada, por lo que se desaconseja realizar el pago.

En las primeras versiones de este tipo de malware solo se codificaban los archivos del disco o dispositivo, pero actualmente se llegan a cifrar unidades de disco de red conectadas a la PC, servicios en la nube que estén mapeados como Dropbox o Drive e incluso unidades de red de las que haya credenciales de acceso almacenadas en el sistema. En las últimas versiones se incluye un timer que pasado ese tiempo el monto del “rescate” se incrementa.

Este tipo de ransomware es mucho más dañino que el que bloquea el dispositivo, ya que el bloqueo es temporal y no afecta a los archivos del dispositivo.
¿Cómo llega este malware a nuestro equipo?

Los primero que hay que decir es que en la mayoría de casos se usan “downloaders”, esto es un programa que en principio no tienen ningún efecto dañino, pero cuando se ejecuta descarga el malware real de Internet, el que cifra todos los archivos del equipo impidiendo su acceso. Como es un programa que directamente no es perjudicial, los análisis de los antivirus no lo suelen detectar como malware.
Este downloader nos suele llegar:
– Adjunto a un correo electrónico. Tenemos ejemplos típicos como el del reembolso, Facturas, Fotos… Envían un archivo adjunto con un icono de archivo comprimido, que realmente es un ejecutable, de forma que si hacemos clic en él no se abre el archivo comprimido, se ejecuta del downloader.
– Descargado por nosotros mismos. Obviamente engañados, simulando ser un justificante de un envío de correos, o una publicidad engañosa dentro de otros programas, este asunto ya fue usando anteriormente.
– En archivos de Office con macros. Las macros, son “programas” que se pueden incluir en algunos archivos de texto (Word) o de hojas de cálculo (Excel) y que realizan alguna función en ellos, pero debido al riesgo que suponen no se permite su ejecución sin una confirmación del usuario.
– Dentro de publicidad maliciosa. Anuncios diseñados para infectar a usuarios,, muy comunes en páginas de descargas ilegales
– También se han encontrado algunas variantes que pueden infectar dispositivos mediante pendrives, unidades de red, falsas actualizaciones de Flash etc.

ramsonware3

¿Cómo se puede solucionar el bloqueo?

La forma menos aconsejable es pagar, ya que aunque nos permitan recuperar los archivos, le estaríamos dando la excusa a los “malos” para seguir haciéndolo e incluso que nos siguieran extorsionando. Si pagamos una vez ¿Quién asegura que no lo harán más veces?

Bloqueo de dispositivo.
La OSI ha elaborado un par de artículos al respecto, uno para desinfectar PC y otro para dispositivos móviles.

Bloqueo de archivos.
Hasta el momento, han ido apareciendo aplicaciones para recuperar los archivos cifrados “por algún” malware de este tipo. Como es una lista muy dinámica, en caso de infección lo mejor es buscar en Internet si existe algún sistema para descifrar nuestros archivos, en función de la infección que tengamos. La empresa Kaspersky tiene una herramienta que se puede descargar de aqui, pero no funciona con todos los algoritmos de desencriptación.
Hay que mencionar, que aunque actualmente la mayoría de herramientas de descifrado son gratuitas, también comienza a publicarse algunas de pago.

¿Cómo protegernos de este tipo de malware?

Copias de seguridad en dispositivos o medios que estén desconectados del sistema, solo deben estar conectados mientras se realiza la copia. Es la única medida de seguridad que puede garantizar que este tipo de infección no nos bloquee los archivos. Es importante señalar que SOLO las copias almacenadas en soportes o dispositivos desconectados de la PC son realmente seguras.

Evitando la descarga. Como para infectarse hay que descargar un archivo y ejecutarlo, debemos extremar la precaución con todo lo que descarguemos de Internet.

Actualizaciones automáticas activadas. Evitamos que aprovechando alguna vulnerabilidad nos infecten. Todo el software que compone el dispositivo debe estar actualizado a la última versión disponible ya que de esta manera si existe alguna vulnerabilidad conocida esta se haya solucionado.

Usar contraseñas robustas. Algunas infecciones se extienden a unidades compartidas por usar contraseñas débiles. Siempre es aconsejable utilizar contraseñas robustas (combinaciones de letras mayúsculas, minúsculas, letras y símbolos).

Desactivar la reproducción automática. Si no se ejecuta nada de forma automática, evitaremos que los USB nos infecten.

Usar cuentas sin permisos de administrador. Evitamos el acceso a archivos de otros usuarios en el sistema.

Instalar software específico anti-ransomware. Está apareciendo software de este tipo para proteger a los sistemas. Varias empresas tienen productos en esta línea como Antiransom (Security By Default), CryptoPrevent, MalwareBytes (beta), Bitdefender (BDAntiransomware).

CONCLUSIÓN

Estamos ante la amenaza más importante para nuestros archivos, y los “malos” lo saben, por lo que no se espera que este tipo de malware cese, así que debemos de tener mucho cuidado, hay que tener muy presentes las medidas de seguridad y sobre todo, no olvidarse de las copias de seguridad en soportes o dispositivos que no estén conectados de forma permanente.

Léelo en #DyD:

About the author

Diego administrator

Deja un comentario