El Ransomware es una de esas amenazas que, para muchas personas, suena como algo lejano que sólo le pasa a la demás gente! Pero recientemente se han visto muchos casos (como WannaCry y NoyPetya) que han afectado masivamente a cientos de compañías en Ucrania, Rusia, España, Inglaterra.
Qué es el Ransomware?
Al igual que en el entorno social, a nivel de software también se dan casos de “Secuestro” o “Ramsomware”, en donde los criminales pueden llegar a tener el descaro de pedir un rescate por devolver algo que, por derecho, le corresponde únicamente a su legitimo dueño que, en este caso, es el extorsionado o, en su defecto, a la familia del mismo.
Para ampliar el detalle, lo mejor es ver el siguiente video (en caso de problemas puede hacer clic en el siguiente enlace):
Existen varios tipos de Ransomware?
Lastimosamente, al igual que los virus, el ransomware tiene varios tipos o variables que, aunque usan tácticas similares para tomar ventaja de las presas y apoderarse de su información, no totalmente iguales. Entre los más conocidos se encuentran:
- Cerber: ataca a los usuarios de Office 365,
- Crysis: se enfoca en los medios locales, removibles y en la red,
- CryptoLocker: se distribuye de varias formas, una de ellas como archivo adjunto de un correo electrónico y otra, accediendo a través del puerto remoto 3389,
- CryptoWall: se infiltra en el sistema operativo del usuario a través de un mensaje de email infectado o una descarga fraudulenta, por ejemplo supuestas actualizaciones de los reproductores de video y/o navegadores,
- CTB-Locker: se especializa en cifrar usuario fotos, videos y documentos para dificultar que los usuarios puedan acceder a ellos.
- Jigsaw: va borrando archivos progresivamente hasta que se paga el rescate,
- KeRanger: es una de las primeras versiones de Ransomware funcional enfocada en atacar equipos com #MacOS,
- LeChiffre: es un poco aparatoso ya que debe ejecutarse manualmente en el sistema comprometido. Para esto, los delincuentes buscan automáticamente en las redes por escritorios remotos mal protegidos. Una vez encontradas las presas, los ciber criminales proceden a conectarse a ellos remotamente y ejecutar manualmente una instancia del virus.
- Locky: generalmente se propaga a través de archivos que engañan a la víctima para que esta active “los macros”. Posteriormente el Ransomware procede a encriptar el ordenador.
- TeslaCrypt: amenaza enfocada en Gamers. Se introduce en secreto en el ordenador de las víctimas explotando las vulnerabilidades de Adobe y luego de encriptar los archivos pide un código específico para desencriptarlos,
- TorrentLocker: es un ransomware que puede cifrar más de 100 tipos de archivos.
- WannaCry: encriptan archivos de los equipos atacados, pidiendo el pago de un rescate (típicamente en Bitcoin) a cambio de su restauración, no sin antes propagarse por las redes hacia otros equipos vulnerables.
- ZCryptor: es una amenaza de tipo único en su especie, ya que además de cifrar los archivos, se autopropaga hacia otros ordenadores y conectados a la red sin usar técnicas de spam.
Hay más tipos de Ransomware? Qué es Petya?
Tal como lo comentaba anteriormente en otro artículo, los cibercriminales han empeorado las cosas, creando una versión del Ransomware llamado “Petya”, que se esconde en un archivo adjunto enviado por email con archivos adjuntos (Excel, pdf, Word o links de dropbox), aprovechando la vulnerabilidad de Microsoft. El blanco de Petya ya no sólo son los archivos, es el disco duro de las presas! De tal forma que procede a dañar procesos de arranque o sector cero del sistema operativo (Windows). Así las cosas, cuando el usuario ha sido infectado, la terminal va a mostrar la temida pantalla azul y, posteriormente, la maquina va a desplegar un supuesto error que dice tomar varias horas en corregirse pero, en realidad, lo que está sucediendo “tras bambalinas”, es un proceso en el cual el malware encripta el disco duro para dejar al usuario totalmente bloqueado sin poder acceder siquiera a Windows. Posteriormente, para “cerrar con broche de oro”, “Petya” procede a se va a presentar al usuario la tradicional pantalla de rescate. El siguiente video muestra la primera versión del Ransomware pero, lastimosamente, este ha evolucionado a pasos agigantados!.
Cómo evitarlo a Petya y los otros?
Este tipo de extorsión se ha ido expandiendo y, como era de esperarse, cada vez es más sofisticado. Por lo mismo, los usuarios deben ser muy precavidos y tener en cuenta las recomendaciones generales de empresas como ESET, ADALID, KASPERSKY y otros… para evitar situaciones lamentables:
Hacer backup periódico de los datos ojalá local y otro en la nube: De tal forma que si el “Cryptolocker”, llega a cifrar los archivos (locales, memorias USB y unidades asignadas locales), el usuario pueda echar mano de un disco externo (sin letra de unidad pre-asignada) o de servicios en la nube para restaurar la información crítica.
Validar y actualizar la copia de seguridad externa: Además es necesario verificar frecuentemente que la copia de seguridad se encuentra al día y funcionando,
No abrir documentos adjuntos ni dar clic en enlaces incluidos en correos electrónicos de dudosa procedencia: Al recibir un correo extraño, o que parece ser una imitación de algo enviado por un banco o una tienda en línea, lo mejor, es aplicar lo que decían las abuelas: “ante la duda abstente”; por lo mismo, al ver en un archivo con doble extensión (como por ejemplo “.PDF.EXE”), lo mejor es no abrirlo sin previamente validar si está infectado. Lo mismo aplica para los enlaces.
No ser confiado: Los delincuentes suelen usar tácticas de ingeniería social para impresionar a amigos y conocidos, y así, hacer que muchas personas procedan a abrir links de dudosa procedencia en emails, chats y/o redes sociales. Por lo mismo, es mejor validar el enlace antes de ir a abrirlo.
Actualizar el software: Para detectar a tiempo el ransomware y otro tipo de amenazas es vital mantener actualizado el software del sistema, navegador y otros.
Tener todos los juguetes para mantener la seguridad: No está de más instalar un software antimalware, un firewall y un antivirus para filtrar las amenazas o conductas sospechosas. A nivel empresarial es bueno contar con todos los modelos de seguridad de la información o sistemas de gestión de la información.
Desconectar la conexión de internet por cable o wifi: En caso de detectar un proceso extraño o desconocido, o, en el peor de los casos, ver la pantalla de rescate en el equipo, lo mejor es detener la comunicación, vía internet, con el servidor para evitar que proceda a cifrar los archivos.
Intentar encontrar el nombre del ransomware: En caso de estar infectado, es posible que su suerte no sea tan mala; muchos usuarios caen en las redes de una versión antigua que ya ha sido vulnerada, de la cual existen métodos para restaurar los archivos.
No pagar el rescate: Si ya es muy tarde y, usted es parte del selecto grupo de desafortunados cuya información ha sido cifrada, no pague el rescate, ya que va a seguir promoviendo este tipo de actividad y, pero aún, es posible que en el futuro sea un blanco fácil para el mismo perpetuador de tan mala acción.
Hay que tener en cuenta que mientras más se ponga al descubierto a los delincuentes, es más difícil que ellos continúen usando las mismas trampas y/o estafas.
Finalmente, para los que no les gusta leer, aquí están los consejos de Juan Pablo Castro, experto de Trend Micro (en caso de problemas para visualizar el video sobre los consejos para prevenir esta amenaza, haga clic aquí) que explica lo que se debe hacer antes y después del #Ransomare.