El ransomware es uno de los tipos de malware más dañinos y provoca desastres de miles de millones de dólares cada año. Tanto para las empresas como para las personas, una infección de ransomware puede significar la pérdida de archivos irremplazables y pasar semanas recuperando computadoras.

En este artículo, exploraremos la definición de ransomware, cómo funciona y cómo sacarlo de su computadora .

Definición de ransomware

Al igual que el adware y el spyware , el ransomware es un tipo de malware . A diferencia de otros tipos de malware, el ransomware tiene una definición muy específica: es un software malicioso que cifra los archivos de la víctima y exige un rescate para descifrarlos . Generalmente, el autor del ransomware solicita su rescate en Bitcoin u otra criptomoneda difícil de rastrear.

Si bien la mayoría de los tipos de ransomware solo cifran los archivos de un usuario, otros también amenazan con publicarlos. Debido a esto, el ransomware puede ser muy dañino para una organización, tanto en términos financieros como de reputación.

Cómo funciona el ransomware

En pocas palabras, el ransomware abusa del cifrado , una tecnología para codificar datos, para evitar que las víctimas accedan a sus datos a menos que paguen. Después de que una víctima lo instala sin darse cuenta, el ransomware sigue algunos pasos generales:

  1. En segundo plano, el programa ransomware cifra (o codifica) los archivos del usuario uno por uno, eliminando los originales.
  2. El ransomware muestra el mensaje de rescate , ya sea cambiando el fondo del escritorio o abriendo una aplicación personalizada en pantalla completa.
  3. En la nota de rescate, el usuario recibe un ultimátum: o paga y restaura sus archivos, o el atacante tira la clave de cifrado y los archivos se pierden para siempre.
  4. En la misma página que la nota de rescate, el programa muestra una dirección de Bitcoin (u otra criptomoneda) . Cuando el usuario compra la cantidad correcta de Bitcoin y los envía a la dirección especificada, se le proporciona un archivo o contraseña.
  5. El usuario ingresa la clave de desbloqueo en alguna parte del programa ransomware. Teóricamente, el desbloqueador descifra los archivos del usuario y luego se elimina. Sin embargo, esto no siempre sucede : a veces el criminal simplemente toma el dinero de la víctima y no hace nada.

El cifrado es la misma tecnología que se utiliza para hacer que la banca en línea sea segura. También asegura su navegación web, mensajes instantáneos y correos electrónicos (entre los principales proveedores). Sin embargo, los piratas informáticos también pueden usar el cifrado para bloquear el acceso de sus víctimas a sus propios datos.

¿Cómo se propaga el ransomware?

Hay algunas formas diferentes de infectar a los usuarios con ransomware. A continuación, respondí algunas de las preguntas más candentes sobre la propagación de este software malicioso:

  • ¿Puede el ransomware propagarse a través de documentos infectados? Sí. La mayoría de los tipos de ransomware llegan a través de descargas infectadas o archivos adjuntos de correo electrónico. El llamado malware basado en documentos, donde los archivos maliciosos de Microsoft Office albergan malware oculto, es cada vez más frecuente. Todo lo que se necesita es un clic para “ejecutar macros” (y, a veces, cero clics, si el pirata informático usa un error de seguridad) antes de que sus datos sean rescatados.
  • ¿Puede el ransomware propagarse a través de Wi-Fi? Sí. Algunos ransomware se propagan como gusanos una vez que ingresan a una red. En otras palabras, utiliza vulnerabilidades de seguridad en el software de la red para propagarse de una computadora a otra. Los piratas informáticos a menudo apuntan a vulnerabilidades en los protocolos de escritorio remoto y uso compartido de archivos.
  • ¿Puede el ransomware propagarse a través de USB? Sí. Si toma prestada una unidad flash infectada de su amigo y la usa en su computadora, detectará ransomware.

Desafortunadamente, el ransomware es extremadamente rápido una vez que ingresa a su sistema. Solo toma unos segundos cifrar todos sus archivos. Es por eso que debes concentrarte en evitarlo en primer lugar.

Cómo prevenir el ransomware

La mayoría de los tipos de ransomware requieren algún tipo de error del usuario para activarse. En ocasiones, el ransomware utilizará vulnerabilidades de seguridad en el software o protocolos de acceso remoto para propagarse.

En general, la prevención de ataques de ransomware es similar a la prevención de otros tipos de ataques. Aquí hay algunas recomendaciones más específicas:

  • Evite abrir descargas de sitios no confiables.
  • Tenga cuidado con los correos electrónicos: no abra archivos adjuntos o enlaces de remitentes no confiables o desconocidos.
  • Mantenga su sistema operativo y software actualizados. Asegúrese de que su navegador web, antivirus y otro software crítico para la seguridad reciban actualizaciones frecuentes. Esto puede ayudar a evitar el ransomware que aprovecha las vulnerabilidades de seguridad.
  • Utilice el modo de análisis en segundo plano en su software antivirus para asegurarse de que todas las descargas se analicen en busca de malware. Dado que no puede eliminar el ransomware de manera efectiva después de instalarlo sin borrar su computadora, los escaneos ocasionales no funcionarán.

Otras medidas generales de seguridad pueden mantener a raya al ransomware, pero el usuario es el elemento más importante del sistema de seguridad. Al ser cuidadoso y escéptico con los sitios web, los correos electrónicos y otra información en su computadora, puede evitar el ransomware.

Cómo eliminar ransomware

Dado que sus archivos están completamente encriptados, es imposible eliminar el ransomware sin borrar completamente y reinstalar su computadora . No podrá recuperar sus archivos sin tener una copia de seguridad anterior a la instalación del ransomware.

Aquí le mostramos cómo limpiar y restaurar su computadora:

  1. En una computadora limpia, cree una unidad de recuperación de arranque específica para su sistema operativo. No necesitará usar una segunda computadora si usa una Mac.
    1. En Windows, utilice la herramienta de descarga de USB/DVD de Microsoft. Esta es una descarga gratuita y fácil directamente desde Microsoft.
    2. En macOS, inicie desde Recuperación manteniendo presionadas las teclas Comando y R después de reiniciar. La unidad de recuperación está integrada en su sistema operativo.
  2. Reinicie su computadora desde la unidad de recuperación externa o interna. Siga las instrucciones en pantalla para limpiar su disco duro y reinstalar el sistema operativo.
  3. Reinicie su computadora cuando se le solicite y retire la unidad de recuperación . En una Mac, no mantengas presionada ninguna tecla.
  4. Configura tu computadora como nueva. Después de terminar de configurarlo, mueva sus archivos de su copia de seguridad a su computadora.
  5. Evite hacer lo mismo que causó la instalación del ransomware en primer lugar. Si no estaba siguiendo buenas prácticas de seguridad antes, tómese el tiempo para reevaluar sus opciones y tenga más cuidado la próxima vez.

Si no tiene una copia de seguridad de sus archivos, es posible que no tenga suerte. En la sección final de este artículo, analizamos brevemente por qué no debe pagar el rescate. No hay garantía de que el criminal simplemente no tome su dinero sin restaurar el acceso a sus archivos. Por otro lado, si no le importa perder sus archivos, simplemente limpie su computadora por completo y no restaure ninguna copia de seguridad.

Ejemplos de ransomware

Ejemplo de ransomware WannaCry

En los últimos años, los ataques de ransomware han aparecido en las noticias todo el tiempo. Desde el famoso ataque WannaCry que afectó a cientos de organizaciones importantes hasta las variantes Petya y NotPetya , el ransomware ha sido un tema candente durante algunos años.

Puede ver un resumen de las variantes de ransomware más importantes aquí:

  • WannaCry fue el ataque de ransomware más conocido. Al explotar la vulnerabilidad de seguridad EternalBlue en Microsoft Windows, se extendió por todo el mundo a una velocidad sin precedentes. Según algunas estimaciones, las pérdidas por este ataque podrían superar los cuatro mil millones de dólares.
  • SamSam atacó la infraestructura crítica utilizando credenciales de Microsoft Remote Desktop robadas. A diferencia de muchos otros tipos de ransomware, las víctimas de SamSam no necesariamente cometieron ningún tipo de error por su cuenta.
  • Locky llegó a las computadoras de las víctimas a través de una factura falsa de Microsoft Word que contenía malware. El documento parecía no ser válido y engañó al usuario para que habilitara las macros para “recodificar” el documento. Después de habilitar las macros de Word, la computadora de la víctima se bloquearía con ransomware.
  • Petya y NotPetya son variantes de un programa ransomware similar que sobrescribía sectores de arranque críticos en las computadoras de sus víctimas. En comparación con otros tipos de ransomware, Petya utiliza una técnica más completa y de bajo nivel que hace que los sistemas de las víctimas queden completamente inoperables.
  • Ryuk atacó los sistemas empresariales a fines de 2018, más recientemente que muchos de estos otros ejemplos de ransomware. Utiliza malware sin archivos (incluidas las secuencias de comandos de PowerShell) para propagarse a través de las redes corporativas, encriptando rápidamente tantas computadoras como sea posible.

¿Debo pagar si me ataca un ransomware?

Si es posible, no pague el rescate. Al pagar el rescate, anima a los autores del ransomware a seguir atacando a otras personas y organizaciones. Sin embargo, a veces no puede evitar pagar el rescate porque no tiene copias de seguridad y el valor de sus datos supera el costo del rescate.

Recuerde que los autores del ransomware no tienen ningún incentivo para desbloquear sus archivos si paga el rescate. Aunque la mayoría de las veces desbloquean los archivos de las víctimas, no hay garantía. Cuando un hospital de Kansas sufrió un ataque de ransomware, sus datos no se devolvieron, incluso después de pagar el rescate.

Otra razón para evitar ceder es la posibilidad de que se haya instalado otro malware al mismo tiempo. El malware a menudo viene en grupos, incluso si paga para eliminar el ransomware, su computadora aún podría estar infectada con otro malware más sutil.

Si se preparó bien y tiene copias de seguridad, borre todas las computadoras infectadas y restaure desde sus copias de seguridad. De esta manera, aún tendrá sus datos y no fomentará el cibercrimen en el futuro.

Preguntas más frecuentes

FUENTE: CBNEWS

INFORMÁTICA FORENSE
error: Content is protected !!