Ransomware: protégete del virus que encripta tus archivos

ransomware_sample

Hace meses que se vienen lanzado alertas sobre la circulación de un peligroso tipo de virus del tipo Ransomware que llega en adjuntos de correo o a través de páginas web maliciosas, y cuyo propósito es conseguir dinero de sus víctimas mediante la encriptación de sus archivos o el bloqueo del acceso al sistema.

Los virus que encriptan los archivos no son algo nuevo. Pero lo que hace diferente a las últimas variantes que se han detectado es la dificultad que presenta la recuperación de los archivos codificados. Las variantes más antiguas utilizaban un sistema de codificación más sencillo, por lo que en muchos casos hemos podido realizar la recuperación de los archivos dañados siempre que contáramos con una copia no infectada de uno de los archivos codificados, lo que permite descifrar la clave. En el caso de las nuevas variantes de Ransomware del tipo Cryptolocker o Cryptowall utilizan claves de hasta 2048 bits, por lo que sin la clave privada es prácticamente imposible averiguarla. El virus puede eliminarse, pero el daño causado permanece.

cryptolocker

El virus llega en mensajes de correo con falsos avisos de entrega de paquetes, cartas certificadas, aviso de multas o haciendo alusión a errores en facturas o datos equivocados , lo que hace que los destinatarios bajen la guardia y abran el archivo adjunto. El virus no encripta todos los archivos, sino que se centra en documentos, imágenes y archivos de correo, que es lo que más daño puede hacer a su víctima, y además borra los archivos originales para impedir su recuperación por otros procedimientos. Además se autoejecuta cada vez que arranca el ordenador, y afecta a discos externos y unidades de red compartidas. Una vez consumado el desastre, nos aparece un mensaje avisándonos de que nuestros archivos han sido encriptados y dándonos instrucciones para el pago del rescate, por un tiempo limitado, lo que en teoría permitiría obtener la clave de desencriptación y recuperar los archivos. El pago debe hacerse en bitcoins, lo cual resulta más complejo, y unido a que los ciberdelincuentes utilizan la red Tor hace que sea más difícil rastrearles e identificarles. Nosotros aconsejamos que de ninguna manera realicéis el pago, ya que el hecho de hacerlo no garantiza que vayáis a conseguir recuperar los datos, y además fomenta la proliferación de este tipo de amenazas.

HELP_DECRYPT_1

Aunque siempre pensamos que estas cosas no van a pasarnos a nosotros, ya hemos sufrido en la persona de varios conocidos los resultados de este malware, por lo que os damos algunas recomendaciones para permanecer a salvo de este peligro.

1. Lo más importante: copia de seguridad actualizada

Lo primero y más importante es la prevención. Hay que tener una copia de seguridad de nuestros archivos más importantes y  actualizarla siempre que haya habido cambios importantes. Independientemente de los sistema de copia que utilicemos (en disco, en la nube…) es conveniente que hagamos un backup en un disco que solo conectemos al ordenador en el momento de realizar la copia, y luego lo desconectemos y guardemos en sitio seguro para evitar que sea infectado.  Antes de realizar la copia deberíamos hacer una análisis del sistema con el antivirus para asegurarnos de que está limpio. De este modo, en caso de infección, no todo estará perdido, y para algunas variantes del virus contaríamos con una copia de archivos que nos permitiría desencriptar el resto.

2. El antivirus, siempre actualizado.

Ningún antivirus protege al 100 %, pero al menos disminuye los riesgos. Los virus aparecen antes que las soluciones, pero un análisis periódico y completo del sistema puede detectar troyanos que permitirían la descarga del software malicioso.

3. Desconfía de los correos electrónicos

Nunca debemos abrir correos sospechosos. Hay que desconfiar de los correos de personas desconocidas, con faltas de ortografía o que parezcan una mala traducción del inglés. Cuidado también con los mensajes de contactos conocidos, ya que es fácil robar direcciones de correo o falsificar el remitente. Revisa la extensión del archivo adjunto para asegurarte de que es del tipo que dice ser. Antes de abrir un archivo adjunto haz que tu antivirus lo analice.

4. Acostúmbrate a LEER.

Si Windows te dice que un programa solicita tu permiso para ejecutarse, no pulses automáticamente en SI. Mira bien si se trata de un programa conocido y si hay algo que te haga sospechar. Es posible que recibamos una advertencia antes de que se ejecute el malware si las opciones de seguridad del sistema están bien configuradas. Si pulsas que NO quieres que se ejecute el programa y el aviso se repite una y otra vez, puede ser una señal de que estamos infectados, pero quizá podamos evitar el daño con herramientas de desinfección apropiadas.

5. Si el daño está hecho, salva lo que puedas.

Si a pesar de haber tomado todas las precauciones has abierto un archivo y  de repente tu ordenador empieza a hacer cosas raras, se ralentiza y sospechas que has sido infectado, lo único que puedes hacer es apagar inmediatamente el ordenador a lo bruto para intentar salvar algunos documentos y no volver a encenderlo. De este modo podría sacarse el disco duro e intentar hacer copia del mayor número posible de documentos antes de que se encripten. Si lo apagas de forma correcta, el virus impedirá el apagado hasta que haya completado su acción, y volverá a actuar cuando lo reinicies.

6. Intenta utilizar las herramientas disponibles.

Kaspersky dispone de algunas herramientas de desencriptado que pueden servir de ayuda en caso de infección con algunas variantes de Ransomware. Últimamente ha estado trabajando con la National High Tech Crime Unit de Holanda, y han sido capaces de desarrollar un Ransomware Decryptor que en algunos casos puede ayudar a recuperar tus archivos. Hay que tener en cuenta que el procedimiento está aún en investigación y puede no ser efectivo.

También puede ayudarnos a prevenir infecciones utilizar cuentas de usuario con privilegios limitados. Utilizar la cuenta de administrador exclusivamente para propósitos administrativos, como instalar programas o cambiar configuraciones. Descargar programas únicamente de sitios oficiales y comprobar que el sistema y todos los programas (Java, Adobe…) están actualizados a la versión más reciente.

Perder las fotos de toda la vida es una auténtica faena, pero perder toda la documentación de una empresa puede ser algo muy grave. Por eso insistimos: es muy importante reforzar las medidas de seguridad y ser muy cuidadosos al navegar por internet y al utilizar el correo electrónico. Y algo a tener muy en cuenta: el Ransomware también afecta a los teléfonos y tabletas, por lo que no está de más contar en ellos con alguna solución de seguridad, descargar las aplicaciones siempre de la Play Store, y ser igualmente cuidadosos con los correos recibidos.

android_ransomware

Deja un comentario