El ransomware es un software malicioso empleado por los cibercriminales para secuestrar tu equipo o ciertos archivos que almacena, y luego pedirte el pago de un rescate a cambio de su recuperación. Lamentablemente, el ransomware es un medio cada vez ma s popular mediante el cual los creadores de malware extorsionan a empresas y consumidores por igual para quitarles dinero.
Son muchas las formas en que puede ingresar a una computadora, pero como suele ocurrir, las técnicas terminan siendo ta cticas de Ingeniería Social o el uso de vulnerabilidades de software para instalarse silenciosamente en la ma quina de la víctima.
¿Por qué Cryptolocker es tan notable?
Una amenaza en particular de tipo ransomware que apareció mucho en las noticias es Cryptolocker (detectada por ESET como Win32/Filecoder). Este malware se asoció con una variedad de otros programas maliciosos, como troyanos backdoor, downloaders, spammers, ladrones de contraseñas, troyanos clicker de publicidades, entre otros. Cryptolocker puede llegar solo (en general enviado por correo electrónico) o como componente adicional de un backdoor o un downloader.
Sus creadores fueron ha biles y persistentes; hicieron un esfuerzo coordinado para lanzar nuevas variantes con el objetivo de mantenerse al día de los cambios en la tecnología de protección y para ir atacando a distintos grupos con el paso del tiempo. Fue así como nos encontramos con Cryptolocker 2.0, aunque últimamente, otras amenazas como CryptoWall 3.0 también estuvieron muy presentes.
Al principio, los correos electrónicos estaban dirigidos a usuarios domésticos, luego a empresas pequeñas, medianas, y ahora también atacan a grandes corporaciones. Adema s del correo electrónico, este malware puede propagarse por puertos RDP que hayan quedados abiertos a Internet. Cryptolocker también puede afectar los archivos del usuario alojados en unidades de red asociadas al equipo (por ejemplo, D:, E:, F:). Por lo tanto, es capaz de afectar archivos ubicados en discos rígidos externos, incluyendo unidades de memoria USB, o carpetas que se encuentren en la red o en la nube. Si, por ejemplo, tienes una carpeta de Dropbox asignada en forma local, también podría cifrar sus archivos.
Los elegidos por esta amenaza suelen ser aquellos con formatos de datos muy populares, archivos que abrirías con un programa instalado en el equipo (como Microsoft Office, los programas de Adobe, iTunes u otros reproductores de música, o visualizadores de fotos).
Los criminales usan dos tipos de cifrado: los archivos en sí se protegen con cifrado AES de 256 bits. Las claves generadas por este primer proceso de cifrado a su vez se protegen con cifrado RSA de 2048 bits, y los autores guardan la clave privada que permite descifrar tanto las claves ubicadas en la ma quina del usuario, como los archivos que estas claves protegen. La clave de descifrado no puede adivinarse por fuerza bruta ni extraerse de la memoria del equipo afectado. Aparentemente, los criminales son los únicos que tienen la clave privada.
¿Qué se puede hacer al respecto?
Por un lado, el ransomware puede ser muy preocupante, dado que los archivos cifrados bien podrían considerarse dañados irreparablemente. Pero si preparaste tu sistema en forma correcta, no sera nada ma s que una simple molestia.
Los siguientes consejos te ayudara n a protegerte del ransomware y evitar que te arruine el día:
1. Haz un backup periódico de tus datos
La única herramienta y la ma s importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. Si te ataca un ransomware podra s perder ese documento en el que comenzaste a trabajar esta mañana, pero si puedes restaurar el sistema a una instanta nea anterior o desinfectar el equipo y restaurar desde tu backup los documentos que estaban infectados, estara s tranquilo.
Recuerda que Cryptolocker también cifra archivos en unidades asignadas. Esto incluye todos los discos externos como las memorias USB, así como los espacios de almacenamiento en la red o en la nube para los que haya una letra de unidad asignada. Por lo tanto, lo que debes hacer es llevar un régimen periódico en un disco externo o servicio de backup, que no tenga asignada ninguna letra de unidad o que se pueda desconectar mientras no esta haciendo el backup. Encontrara s ma s información en nuestra Guía de Backup.
Los siguientes tres consejos tienen que ver con la forma en que Cryptolocker se comporta, aunque es posible que no sea el caso de manera indefinida, pero aún así pueden ayudar a incrementar tu seguridad en general mediante pequeñas acciones, y evitar una variedad de técnicas de malware comunes.
2. Muestra las extensiones ocultas de los archivos
Con frecuencia, una de las maneras en que se presenta Cryptolocker es en un archivo con extensión “.PDF.EXE”, aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Si desactivas la casilla correspondiente, podra s ver la extensión completa de cada uno y sera ma s fa cil detectar los sospechosos.
3. Filtra los archivos .EXE del correo electrónico
Si tu sistema cuenta con una herramienta que permite filtrar adjuntos por extensión, puedes configurarlo para rechazar los correos que tengan archivos “.EXE” o con doble extensión, donde la última sea la del ejecutable (seleccionar los archivos “*.*.EXE” al configurar el filtro). Si necesitas intercambiar archivos ejecutables dentro de tu entorno y configuraste el sistema para rechazar los de tipo “.EXE”, igual podra s hacerlo convirtiéndolos a ZIP (protegidos por contraseña, por supuesto) o mediante servicios en la nube.
4. Deshabilita los archivos que se ejecutan desde las carpetas AppData y LocalAppData
Puedes crear reglas en Windows o mediante el software de prevención de intrusiones para bloquear un comportamiento en particular, típico de Cryptolocker: el hecho de que ejecuta su archivo .EXE desde la carpeta App Data o Local App Data. Si por alguna razón tienes un software legítimo configurado para ejecutarse desde el a rea de App Data en vez de hacerlo desde Archivos de programa, debera s crear una excepción para esta regla.
5. Usa el Kit para la prevención de Cryptolocker
El kit para la prevención de Cryptolocker es una herramienta creada por Third Tier que automatiza la creación de una Política de Grupo para deshabilitar los archivos que se ejecutan desde las carpetas App Data y Local App Data. Adema s deshabilita los ejecutables que se abren desde el directorio Temp de diversas utilidades para comprimir archivos.
Esta herramienta se va actualizando a medida que nuevas técnicas de Cryptolocker salen a la luz, por lo que debera s verificarla en forma periódica para asegurarte de que tienes la última versión. Si necesitas crear excepciones para estas reglas, Third Tier suministra este documento que explica el proceso.
6. Deshabilita RDP
El malware Cryptolocker/Filecoder en general accede a las ma quinas mediante el Protocolo de escritorio remoto (RDP, por sus siglas en inglés), una utilidad de Windows que les permite a terceros obtener acceso a tu equipo de escritorio en forma remota. Si no necesitas usar el protocolo RDP, puedes deshabilitarlo para proteger tu ma quina de Filecoder y otros exploits RDP. Para ver las instrucciones, consulta el artículo correspondiente de Microsoft Knowledge Base.
7. Instala las revisiones y actualizaciones de tu software
Los siguientes dos consejos son ma s generales y sirven tanto para Cryptolocker como para cualquier otra amenaza de malware. Los cibercriminales con frecuencia se basan en que las personas usan software desactualizado con vulnerabilidades conocidas, lo que les permite usar un exploit e ingresar silenciosamente al sistema.
Si te haces el ha bito de actualizar tu software con frecuencia, reducira s significativamente la posibilidad de convertirte en víctima del ransomware. Algunos fabricantes lanzan actualizaciones de seguridad periódicas de rutina, como por ejemplo Microsoft y Adobe, pero también existen actualizaciones adicionales no programadas para casos de emergencia. Siempre que sea posible, habilita las actualizaciones automa ticas, o ve directamente al sitio web del fabricante, ya que a los creadores de malware también les gusta hacer pasar sus creaciones como actualizaciones de software.
8. Usa un paquete de seguridad confiable
Siempre es una buena idea tener un software antimalware y un firewall que te ayuden a identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes para evadir la detección, por lo que es importante contar con ambas capas de protección.
En la actualidad, la mayoría del malware se basa en recibir instrucciones remotas para llevar a cabo sus actividades maliciosas. Si te cruzas con una variante de ransomware tan nueva que logra pasar el software antimalware sin que la detecte, es posible que quede bloqueada por el firewall cuando intente conectarse con su servidor de Comando y Control (C&C) para recibir instrucciones sobre el cifrado de tus archivos.
Si te encuentras en una posición en la que ya ejecutaste el archivo del ransomware sin ninguna de las precauciones antes mencionadas, tus opciones ya son mucho ma s limitadas. Pero puede ser que no todo esté perdido. Hay algunas cosas que puedes hacer que quiza s ayuden a mitigar los daños, en particular si el ransomware en cuestión es Cryptolocker.
9. Desconéctate del Wi-Fi o quita el cable de red de inmediato
Si ejecutaste un archivo que sospechas que puede tratarse de un ransomware, pero aún no apareció la pantalla característica en tu computadora, si actúas muy ra pido, quiza puedas detener la comunicación con el servidor C&C antes de que termine de cifrar tus archivos. Si te desconectaste de la red inmediatamente (¿dejé bien en claro que debe hacerse en ese preciso instante?), puedes llegar a mitigar el daño.
Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte ma s ra pido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.
10. Usa Restaurar sistema para volver a un estado sin infecciones
Si la funcionalidad Restaurar sistema esta habilitada en tu equipo con Windows, es posible que puedas volver a un estado sin infecciones. Pero, una vez ma s, debes ser ma s inteligente que el malware. Las últimas versiones de Cryptolocker pueden incluir la capacidad de borrar archivos de respaldo de la restauración, es decir que ya no estara n allí cuando intentes reemplazar la versión que dañó el malware.
Cryptolocker comenzara con el proceso de borrado cada vez que se inicie un archivo ejecutable, por lo que debes ser muy ra pido, ya que los ejecutables pueden iniciarse como parte de procesos automatizados. En otras palabras, pueden ejecutarse sin tu conocimiento, como parte normal del funcionamiento de tu sistema Windows.
11. Retrocede la hora en el reloj de la BIOS
Cryptolocker en general fija el límite de tiempo en 72 horas para realizar el pago, tras lo cual el precio para descifrar los archivos sube significativamente. El precio puede variar debido a que Bitcoin tiene un valor bastante vola til.
Lo que puedes hacer es retroceder la hora en el reloj de la BIOS a un punto anterior a que se cumplan las 72 horas. Soy un poco reacia a dar este consejo, ya que para lo único que sirve es para evitar que pagues el precio ma s alto, cuando en realidad nosotros recomendamos firmemente no pagar el rescate.
Aunque el hecho de pagarles a los criminales puede llevarte a recuperar tus datos, hubo muchos casos en los que la clave de descifrado nunca llegó o no descifró los archivos. Adema s, ¡fomenta la conducta criminal! Ningún tipo de secuestro es una pra ctica comercial legítima, por lo tanto, los creadores de malware no tienen ninguna obligación de cumplir con lo acordado; pueden llevarse el dinero sin dar nada a cambio, ya que no existe ningún control ni sanción si no lo hacen.
FUENTE: https://www.welivesecurity.com