Ransomware

¿Qué es?

El Ransomware es un software malicioso que puede tomar el control del equipo y encriptar todos los archivos de importancia, para luego pedir un pago por el rescate o restauración de la información.

¿Cómo se propaga?

Este tipo de virus se propaga habitualmente por correo electrónico, bien sea como un archivo adjunto en el correo o como un enlace que redirige a la descarga del virus.

Habitualmente los tipos de archivos adjuntos pueden ser:

  • Directamente archivos ejecutables (*.exe) que incluso pueden estar dentro de archivos comprimidos (*.zip, *.tar.gz, *.tar.bz2).
  • Documentos de Word (*.Doc, *.Docx) que incluyen Macros que al ejecutarlos descargan el Virus directo en el equipo.
  • Documentos con doble extensión (*.pdf.exe, *.doc.exe), que aprovechando que Windows por defecto oculta las extensiones de los archivos la persona asume que está abriendo un archivo PDF o Word.

Otros tipos de propagación, pero poco frecuentes, puede ser a través de descargas P2P (como Ares o eMule) o archivos Torrent que aseguran ser claves de activación de determinados programas.

¿Qué tipos de archivos puede encriptar?

Las primeras versiones de Ransomware estaban dirigidas a usuarios de hogar, con lo cual podía afectar archivos de office, música o video (.doc, .pdf, .xls, .mp3, .mp4, .avi, etc), hoy en día las nuevas versiones de Ransomware están dirigidas a usuarios de hogar y empresas, con lo que la cantidad de archivos que se pueden ver afectadas se extiende a archivos comprimidos, bases de datos, y demás archivos que puedan afectar el funcionamiento de la empresa.

¿Se pueden recuperar los archivos afectados por Ransomware?

Los archivos afectados son encriptados usando un sistema de encriptación RSA (más información acerca de RSA en https://es.wikipedia.org/wiki/RSA) lo que indica que una clave pública enviada al equipo afectado a través de internet es usada para encriptar toda la información. Para poder desencriptar la información, es necesaria la clave privada, pero ésta solo se almacena en los servidores de los atacantes. Debido a este tipo de encriptación es imposible recuperar la información sin la clave privada.

¿Cómo puedo protegerme del Ransomware?

A continuación, enunciaremos algunas medidas preventivas frente a este tipo de amenazas:

  1. Protegerse con un sistema antivirus potente: La capa de protección más básica es mantener un sistema antivirus actualizado y con los componentes de detección por comportamiento activos. Esto le protegerá de infectarse por Ransomware previamente detectados o incluso nuevos si las herramientas de comportamiento y heurísticas pueden identificarlos. 
  2. Filtrar los archivos de correo electrónico: Si tiene un sistema de filtro de correo electrónico puede optar por filtrar los correos que contenga archivos adjuntos con las siguientes extensiones: *.exe, *.*.exe. O si su sistema lo permite, puede bloquear archivos comprimidos que contengan ejecutables dentro. Si necesita intercambiar archivos ejecutables con usuarios de confianza se recomiendan usar servicios en la nube como Google Drive, Drop Box o One Drive.
  3. Firewall: Si tiene un firewall perimetral o también el Firewall de Windows o del sistema antivirus, asegúrese de permitir solo lo necesario. Los atacantes necesitan transmitir información a servidores de Comando y Control (C&C) para recibir los métodos y claves de encriptación.
  4. Realice un Backup de la información:Quizás la medida más importante de prevención frente a este tipo de virus, es mantener siempre un respaldo de la información más importante. Si llega a ser víctima de Ransomware, lo único que tendrá que hacer es restaurar una copia de seguridad reciente. Para que las copias de seguridad sean efectivas tenga en cuenta lo siguiente:
    • Las copias deben estar fuera del equipo local, no sirve que estén en unidades de red u otros discos externos del equipo, como E:, D:, F, etc. Ya que este tipo de virus busca en todo el equipo para encriptar toda la información que esté en el equipo y no solamente en la partición del sistema.
    • Si usa Google Drive, Drop Box o One Drive como herramienta de backup, tenga en cuenta que los clientes de escritorio de estos servicios una vez instalados crean una carpeta en el sistema que sincronizará automáticamente una vez se haya modificado un archivo. Lo que causara que el virus pueda modificar la información y esta sea sincronizada y su vez dañada (si su servicio lo permite quizás pueda recuperar información del control de versiones).
    • Utilizar la restauración de Windows no es una opción de Backup, las últimas versiones de Ransomware borran los archivos generados en incluso desactivan las copias de restauración. Si se logra restaurar el sistema es muy probable que no encuentre información.
    • Lo mejor será usar una herramienta de backup que le permita guardar la información en la nube a través de algún servicio como los mencionados anteriormente, pero sin la necesidad de tener el cliente instalado, con lo que la información no quedaría en el equipo y si segura en la nube.

¿Qué hacer si fue víctima de Ransomware?

La recomendación más importante es no pagar por el rescate de la información por dos razones:

  1.  Nadie asegura que la información sea desencriptada o que las llaves de desencriptación sean enviadas. Al pagar el rescate en ningún momento se realiza un acuerdo contractual que obligue al atacante a restaurar su información.
  2. Si paga el rescate está incentivando a los atacantes a crear nuevos tipos de ataque que en un futuro pueden volver a atacarlo a usted.

Información adicional

Entrada en el Blog técnico de G Data (inglés)
https://blog.gdatasoftware.com/blog/article/encryption-trojan-locky-what-you-need-to-know-about-the-ransomware.html 

Si le es de utilidad, comparta ésta imagen con sus usuarios: Imagen correo malicioso.jpg