Llamamos Ransomware a todo aquel software que para evitar su daño nos piden una recompensa o rescate a cambio.
Ransomware es el malware por ejemplo que se hace pasar por un antivirus, nos comunica que nuestro ordenador está infectado y si queremos desinfectarlo tenemos que pagar cierta cantidad de dinero, bien en dólares, euros o bitcoins, que es la divisa de internet.
El ransom que ahora está "de moda" consiste en cifrar ficheros, normalmente de datos (doc, docx, xls, pdf, jpg, etc) y pedir un dinero por desencriptarlo. El mal llamado Cryptolocker.
Cryptolocker es una de las muchas versiones que existen de este tipo de malware.
La forma de contagio es común a todos ellos y requiere de la "ayuda" del usuario final para su infección, y es por esto que al antivirus le cuesta mucho trabajo su detección, ya que es una acción ejecutada "voluntariamente" por la víctima.
Normalmente llega correo electrónico, bien de la Policía, Hacienda, Correos o cualquier otro organismo y nos pide que ejecutemos un programa para realizar algo. Si ejecutamos ese programa podemos ir despidiéndonos de nuestros ficheros de datos.
¿Qué podemos hacer como medida preventiva?
Para prevenir una infección de este tipo, deberíamos:
- Tener un antivirus instalado. La Universidad de Málaga tiene licencia de la suite de protección de Kaspersky tanto para uso profesional, como doméstico. Aprovechémosla instalándola. Sí es verdad, ya sabemos que el antivirus hace que nuestro ordenador vaya más lento, pero os aseguro que no os pesará esta lentitud cuando veáis a alguien al que se le ha codificado todo su trabajo y a vosotros no, porque habéis preferido seguridad frente a perder algo de velocidad de proceso.
- Tener un antivirus actualizado. El antivirus normalmente se actualiza automáticamente, pero no está de más asegurarse que lo tenemos actualizado, sobre todo a la hora de leer un mail "sospecho" o introducir un disco/pendrive que me ha dejado nuestro amigo "patapalo".
- El Sistema Operativo también debe estar actualizado. Pues sí, existe un programa en nuestro sistema operativo llamado Windows Update que busca las actualizaciones; también nos lo avisa con un escudo amarillo al lado del reloj del escritorio. Actualicemos nuestro sistema.
- Actualizaciones de terceros. Para Microsoft, los terceros son los programas que no son de ellos, como por ejemplo Java, Flash, Acrobat,... sí, esos que salen también allí al lado del reloj y se pasan meses y meses, sin descanso, diciéndonos "tengo una actualización preparada para instalar". Actualicemos también los programas de terceros.
- Desinstalar los programas que ya no necesitemos. El "abandonware" es un agujero muy importante para la infección, es el software al que ya no le hacemos caso, pero que sigue en nuestro disco duro.
- El dedo "inquieto". Llegamos a la parte más vulnerable de un sistema de seguridad, nosotros mismos. Cuando nos han mandado un correo para recoger un certificado, cuando la mayoría de las veces no te lo trae ni a tu casa y eres tú el que se tiene que desplazar a la oficina de correos, DNI en mano aunque el personal de Correos te conozca de toda la vida, para que te dé esa carta certificada.
Detengámonos un momento en el caso del mail de Correos que nos está azotando en estos días.
Debemos comenzar sospechando desde la redacción del correo. Antes de hacer click rápidamente sobre el enlace, vamos a fijarnos en la redacción, las tildes esas amigas de nuestro lenguaje que lo diferencian del anglosajón y que pueden ser nuestro salvavidas. En el caso del mail de Correos vemos que las tildes NO están colocadas sobre los caracteres sino al lado; estos traductores automáticos... ;-)
Después el enlace. Antes de ejecutarlo, comprobar dónde apunta, bien con botón derecho sobre él, o poniendo el ratón sobre el mismo en el caso de que sea un enlace. Si es un ejecutable, no pincharlo, aunque venga de la persona en la que más confías, al menos hasta haberlo consultado con él/ella y aunque así fuera, yo desde luego no lo ejecutaría. Existen mejores formas de mandar ejecutables; nosotros tenemos la Consigna, usémosla también.
Si aún así quiero ejecutarlo, antes podríamos enviarlo a virustotal y que nos digan si es confiable.
- El backup. ¿Eso qué es? Pues eso, queridos amigos y amigas, consiste en ir copiando en un medio extraíble, que no de trabajo cotidiano, copias periódicas de lo que no queremos perder y no volver a tocar ese medio hasta la siguiente vez que vayamos a hacer la copia de seguridad.
Yo estoy tranquilo tengo una copia en Dropbox y en un disco duro externo que tengo conectado a mi ordenador. Pues sí, muy tranquilo, sigue leyendo...
Bueno todo eso está muy bien y prometo hacerlo desde hoy mismo, pero yo ya estoy infectado. Me ha salido un letrero de un señor que me pide no sé cuántos bitcoins por devolverme mis ficheros, a los que se les ha puesto una extensión extra (encrypted, xorist, mkpfgrj, ...).
Primera sorpresa, todos los datos están encriptados con un cifrado fuerte que no se puede descifrar sin tener la clave privada con la que fueron encriptadas. Así que ya podemos despedirnos de nuestros ficheros de datos.
Segunda sorpresa. ¿Pero qué está ocurriendo? Mi disco duro también está encriptado, pero si allí tenía mi copia de seguridad. Y Dropbox, también!!! Pues sí, el ransom encripta todo lo que alcanza: usb, particiones de disco, discos en la nube, unidades compartidas por red. Tus documentos y los de tus compañeros, que estarán muy contentos.
Pero esto tendrá solución, no puede ser que haya perdido mi tesis completa o meses de trabajo en equipo con mi gente de la Universidad de Gromenagüer y que compartíamos en Dropbox.
Pues la solución, de momento, depende de nosotros, ¿tenemos copia de seguridad de los datos?
Sí: Uffff, menos mal. Limpio el ordenador, instalo o actualizo el antivirus, actualizo mi sistema operativo y programas de terceros y tiro de la copia de seguridad. Vuelvo a guardar cuidadosamente mi copia de seguridad.
No: Acordarme de los puntos anteriores, prometer que los voy a cumplir y rezar para que los últimos descifradores (salen casi a diario) me sirvan.
Vamos a las herramientas (lo ideal es no llegar a este punto)
- No existe un solo tipo de ransom de cifrado. Pues eso, no hay un único cryptolocker, están saliendo como champiñones. CTB-Locker, cryptolokers, crypt0Locker, torrentlocker, xorist, rakhni, rannoh, scatter, tesla, coinvault, ... De todos ellos también existen multitud de mutaciones, ya que al cambiar el algoritmo de cifrado ya tenemos uno nuevo y la herramienta que servía para un xorist por ejemplo, ya no sirve para otro.
- El de Correos por ejemplo, es una mutación de TorrentLocker, a uno nuevo llamado Crypt0L0cker (con ceros en vez de o) A día de hoy no se puede desencriptar.
- Voy a dejar una serie de URL's que nos pueden ser de utilidad.
- Decryptcryptolocker FireEye y FoxIt, han creado una web para que les dejes una muestra de tu fichero infectado por CryptoLocker (Ojo, sólo cryptolocker) y si tienen la clave privada te mandan una herramienta para desencriptar tus ficheros. Comentan que las claves cifradas las obtienen de las redadas a las mafias y ahí va aumentado su base de datos de claves.
- Kaspersky tiene una herramienta para CoinVault y se actualiza también casi a diario
- Cisco y su solución para TeslaCrypt
- Bleepingcomputer y su herramienta para TorrentLocker
- Dr.Web tiene un servicio gratuito y facilidades si tienes licencia con ellos
Algunas de estas herramientas requieren de un fichero original exacto a uno cifrado, entre los dos saca la clave cifrada y prueba si sirve para desencriptar el resto de ficheros.
Por otro lado también tenemos la utlidad de copias en sombra. Desde Windows XP, Microsoft incorpora la posibilidad de crear copias periódicas con el objeto de poder realizar una restauración de sistema en caso de catástrofe, lo que conocemos por los puntos de restauración del sistema.
Este servicio crea copias ocultas (shadow copy). Si nuestro sistema tiene habilitado el servicio de restauración de sistema (Propiedades del sistema > Protección del sistema) podemos utilizar un programa de terceros para intentar recuperar los ficheros perdidos. Aquí dejo el enlace a la web del shadowexplorer
Espero, que si has llegado al final de la lectura te propongas cumplir los seis puntos iniciales y no tengas que recurrir a los puntos finales del post, o al menos que no sea para ti sino para tu vecina ;-)
Etiquetas: antivirus, cifrado, cryptolocker, cryptolockers, ctb-locker, lockers, malware, ransom, ransomware, virus
malacate
20-05-2015 13:42