Uncategories ¿QUE ES RANSOMWARE Y POR QUE ES TAN PELIGROSO?

¿QUE ES RANSOMWARE Y POR QUE ES TAN PELIGROSO?

14:00
¿QUE ES RANSOMWARE Y QUE LO HACE TAN PELIGROSO? ¿QUE ES WANNACRY? ¿COMO DEFENDERSE?



Este es un tema que ha dado bastante de que hablar en los últimos tiempos en lo que respecta a seguridad informática así que subo este articulo recopilando la información principal sobre el tema.


¿Que es?

El Ransomware es un software malicioso que al infectar nuestro equipo le da al ciberdelincuente la capacidad de bloquear un dispositivo desde una ubicación remota y encriptar nuestros archivos quitándonos el control de toda la información y datos almacenados. El malware lanza una ventana emergente en la que nos pide el pago de un rescate, dicho pago se hace generalmente en moneda virtual (bitcoins por ejemplo).
Tal como lo indica su nombre (Ransom = Rescate), el Ransomware fue diseñado para secuestrar el acceso a los archivos de las computadoras y así poder pedir un rescate. La variante que cifra los archivos también es conocida como CryptoLocker. Generalmente es distribuido a través del envío de mails, páginas web previamente atacadas o a través de troyanos preinstalados en los equipos de las víctimas, afectando principalmente a los sistemas operativos Windows


¿De Donde Procede?

El ransomware lo crean estafadores con un gran conocimiento en programación informática. Puede entrar en su PC mediante un adjunto de correo electrónico o a través de su navegador si visita una página web infectada con este tipo de malware. También puede acceder a su PC a través de su red.
En la ciudad de San francisco (EE.UU),  se llevó a cabo la conferencia anual RSA, la cual tuvo como finalidad la presentación de ponencias sobre los ataques de ransomware.

En el 2016 el ransomware tuvo una evolución impresionante. Según estadísticas:
Aparecieron 62 nuevas familias de ransomware,
El número de modificaciones aumento 11 veces
1 de cada 5 PYMES que fueron infectadas pagaron su rescate y nunca recuperaron sus datos.
El tiempo de infección de usuarios home aumento de 1 cada 20 segundos a 3 cada 30 segundos. Con esto podríamos decir que 2016 fue el año del ransomware.
Anton Ivanov  analista senior de malware de Kaspersky Lab, comentó que durante el año pasado el y su equipo se encargaron de analizar los datos de las infecciones provenientes de ransomware, así como también a realizar el seguimiento de las nuevas amenazas, todo esto le sirvió para anunciar que de las 62 familias creadas de ransomware el 75% de estas fueron hechas por ciberdelicuente de habla Rusa (Un hecho curioso) y que según la telemetría de análisis de la solución de seguridad Kaspersky, el total de usuarios a nivel mundial infectados por estos ataques fueron de 1.4 millones, cifra escalofriantes si lo traducimos a la rentabilidad de negocio que pudieron haber tenido estos malhechores.

En su ponencia el especialista profundizó en el estudio realizado, para así descomponer los aspectos de la participación que tuvieron los delincuentes con respecto al ransomware, haciendo énfasis expresamente “que lo relacionado con el ransomware es un delito” teniendo así los tipos de participación.
-   - Creación y actualización de las familias del ransomware.
-   - Programas de afiliación para distribuir el ransomware.
-   - Participación en programas de afiliación de distribución en calidad de socio.

Toda esto se reduce a un equipo de estructura profesional. Ivanov señalo que los esfuerzos por detener este tipo de ataques desde su creación se hacen cada vez más difíciles ya que detrás de esto hay un tema monetario en alta potencia, pues deja demasiada rentabilidad por muy poco esfuerzo.
Es por ello que el trabajo de seguridad por el momento está en manos de los usuarios, el llamado es  apostar por la protección de los equipos mediante soluciones de seguridad profesionales y especificas a las necesidades de cada persona, y a profundizar un conocimiento consiente sobre lo vital que es proteger los datos, conocer las nuevas amenazas, y estar atento a establecer políticas de seguridad estrictas tanto en el hogar como en el lugar de trabajo su fuere el caso, como prevención para no ser una víctima más de estos ciberdelincuentes.


¿Cómo infecta los equipos?

Un caso de Ransomware se presenta como un archivo comprimido (generalmente con la extensión ZIP) y al abrirlo la víctima se encuentra con archivos de formatos “supuestamente” PDF. Decimos supuestamente porque en realidad son archivos EXE (ejecutables) a los que se les agrega la extensión PDF aprovechando la funcionalidad preactivada de Windows que oculta las extensiones. Una vez que la víctima ejecuta este falso PDF, comienza todo. Como primera medida el malware se instala (generalmente en la carpeta Mis Documentos) otorgándose un nombre aleatorio, para luego crear una entrada en el registro de Windows y así poder activarse en caso que el equipo se apague. Una vez concretado lo anterior, intenta conectarse a los servidores donde se aloja su centro de control. En la mayoría de los casos son equipos previamente atacados, a los cuales los atacantes mantienen el acceso sin que sus dueños estén enterados. De esta manera mantienen el anonimato en caso de ser rastreados.
Una vez conectados se generan el par de claves “Pública” y “Privada”, utilizando para ello el algoritmo RSA de 2048 bits. La clave pública se usa para cifrar los distintos archivos de la víctima (generalmente los archivos a cifrar son extensiones DOC, PDF, XLS, imágenes, archivos CAD y cualquier otro que se presuponga de importancia para el usuario), mientras que la clave privada quedara en el equipo del cual el atacante posee el control y la misma es la única que podrá descifrar los archivos.
Acto seguido se muestra un mensaje en pantalla donde se indica que se han cifrado los archivos y que para poder descifrarlos se tendrá que pagar un rescate. Generalmente se da la opción de pago a través de medios que ayuden a mantener el anonimato, como BitCoins o tarjetas prepagas. A este mal momento se suma una cuenta regresiva (generalmente de 72 horas) indicando que al término de un tiempo la clave privada se destruirá y no se podrán recuperar los datos.


Pago del Rescate

En caso que la víctima acceda a pagar el rescate, se le mostrará un mensaje donde se indica que la transacción esta siendo llevada a cabo de manera manual, por lo que es posible que tarde hasta 2 días hábiles en ser concretada (Figura 4). Sin embargo, el tiempo para la destrucción de la clave privada se detendrá el tiempo que tarde el proceso de pago. Una vez realizada la transacción, comenzará el descifrado de los archivos y al final del mismo podrá observarse un aviso donde se indica que en caso que algún archivo no haya podido ser descifrado, el mismo deberá pegarse en el escritorio para reintentar descifrarlo. Si todo resultase bien se podrá hacer sobre el botón [Cancelar] e inmediatamente se desinstalará el malware. En teoría ya podremos acceder a los datos que habían sido “secuestrados”.
Como agravante, se debe sumar el dilema si pagar o no. Y en caso que así decida hacerlo, deberá confiar en la “buena voluntad” del delincuente.
Han existido muchos casos en los que se pagó el rescate y se pudo recuperar el acceso a los archivos sin mayores problemas; pero también existieron otros tantos donde no se obtuvo una respuesta por más que se haya pagado.


¿Como Identificar un RansomWare?




Es obvio cuando su dispositivo ha sido infectado con ransomware, ya que probablemente no podrá acceder a su equipo.
Lo cierto es que la facilidad de eliminar una infección producida por malware ransomware dependerá del tipo de malware ransomware que infecte tu dispositivo, ya que existen métodos y herramientas específicos para cada uno de ellos. Pero esto nos obliga a conocer el tipo de malware ransomware es el que ha afectado nuestro sistema operativo. Como es evidente, no todos son informáticos de profesión y puede que identificar el ransomware que nos impide acceder a nuestros archivos y encima nos reclama dinero sea una tarea bastante complicada.
Dicho esto, la herramienta online recomendada para identificar el tipo de uso malware ransomaware que ha infectado nuestro ordenador y bloqueado nuestros archivos es ID Ransomware. Este sitio Web actualmente es capaz de identificar la inmensa mayoría de los ransomware que andan circulando por la red. En la actualidad detecta 61 tipos de ellos aunque la herramienta se va actualizando conforme nuevos ransomware van apareciendo.

Tipos de RansomWare

§  Ransomware de cifrado: altera y bloquea archivos en base a extensiones predefinidas en su código. Ejemplos: Cryptolocker, Petya, CryptXXX y tantos otros, la mayoría. Eliminar este tipo de amenazas depende de factores como errores en su código, captura de servidores por parte de las autoridades, arrepentimiento de los creadores y psoterior publicación de claves maestras.

§  Ransomware de bloqueo: intenta aparentar un bloqueo completo, limitándose a bloquearnos el acceso a nuestras aplicaciones mientras el equipo está encendido, bloqueando procesos de Windows, antivirus, etc. Sin embargo, este tipo no cifra los documentos. Ejemplos: WinLocker y el ya viejo “virus de la policía”.

§  Ransomware de MBR: el Master Boot Record o registro de arranque maestro permite que el sistema operativo instalado pueda arrancar. Algunas muestras de este malware cifran el sector de arranque del disco en lugar de hacerlo con los archivos, por lo que se pueden recuperar normalmente con herramientas forenses.
§  Ransomware mobile: desde hace ya tiempo los móviles son capaces de infectarse por medio de descargas dirigidas desde aplicaciones -aparentemente útiles- que pretenden ser lo que no son. Es importante mantener el teléfono actualizado y con un antimalware activo. Hablamos de Android principalmente (aunque no de forma exclusiva).

§  Enfocado a servidores web: cada vez más, existen muestras que van dirigidas a infectar servidores web, aprovechando vulnerabilidades conocidas y no parcheadas. La web en cuestión quedará inutilizable o incluso podría llegar a infectar a usuarios visitantes.

-------------------------------------------------------------------------------------------------
Tipos de Ataque RansomWare


JigSaw

Tipo de ataque: elimina archivos periódicamente para que la necesidad de pagar un rescate cada vez sea mayor.
Cómo funciona: cada hora que transcurre sin que la víctima pague el rescate, se elimina un archivo cifrado del ordenadores o equipo, haciéndolo irrecuperable, se pague o no por ello. Este malware además elimina un extra de 1.000 archivos cada vez que las víctimas reincidan el equipo y se conectan a Windows.


Petya

Tipo de ataque: Cifra unidades enteras de archivos.
Cómo funciona: el ransomware Petya cifra la tabla de archivos maestros, que contiene toda la información sobre cómo se asignan los archivos y carpetas en el equipo.


KimcilWare

Tipo de ataque: cifra los datos de los servidores web
Cómo funciona: Kimcilware es un RansomWeb porque en lugar de atacar directamente el equipo infecta servidores web a través de vulnerabilidades que encuentra, cifrando las bases de datos y los archivos alojados. De esta manera deja inoperativa la web (por ejemplo, la de empresa) hasta que se pague el rescate.


DMA Locker, Locky, Cerber y CryptoFortress
Tipo de ataque: cifran datos en unidades de red, incluso cuando éstas no están almacenadas en una red de acceso local.
Cómo funcionan: todos ellos son ransomware de la misma familia, y lo que hacen es enumerar todas las acciones que se realizan dentro de un protocolo de red abierta SMB (Server Message Block) y cifrarlas. Esto es, desde archivos compartidos, a impresoras y otros dispositivos externos que estén conectados.



Maktub

Tipo de ataque: comprime los archivos antes de cifrarlos.
Cómo funcionan: Maktub se distribuye a través de correos spam, con apariencia de archivo adjunto PDF o de editor de texto. Mientras el usuario lo abre, en segundo plano se instala en el equipo, comprimiendo los archivos y cifrándolos. El precio que exige por el rescate suele ser elevado.



RansomWare en la nube

Tipo de ataque: elimina o sobreescribe las copias de seguridad en la nube.
Cómo funciona: hace tiempo que el entorno cloud dejó de ser un lugar seguro para almacenar y compartir archivos e información de valor. Las nuevas versiones de ransomware son capaces de atravesar los sistemas de cloud computing y de archivos compartidos que los hacen susceptibles al ataque.


SimpleLocker, Linux.Encoder.1 y KeRanger

Tipo de ataque: acceden a dispositivo para bloquearlo parcial y totalmente.
Cómo funcionan: tres formas de llamar al mismo ransomware, especializado cada uno en un sistema operativo distinto. SimpleLocker escanea la tarjeta SD de modelos con Android en busca de determinados tipos de datos para luego cifrarlos y Linux.Encoder.1 y KeRanger bloquean y cifran los datos instalados en equipos con Linux y macOS, respectivamente.



Cerber

Tipo de ataque: emplea el altavoz del ordenador para enviar mensajes de audio a la víctima. Afecta especialmente a los usuarios Windows.
Cómo funciona: este ransomware genera un VBScript, titulado “# DECRYPT MY FILES # .vbs”, que permite que el equipo mande mensajes de voz al usuario infectado, pidiéndole el rescate y mandándole amenazas. Está adaptado para trdacudir el mensaje en 12 idiomas.


Tox

Tipo de ataque: bloquea y cifra los archivos.
Cómo funciona: es como un “kit de ransomware” para que cada ciberdelincuente diseñe su propia amenaza, personalizada. Estos “packs” se distribuyen en foros de la deep web mediante un sistema de afiliación, ya que cada desarrollador se lleva una comisión por cada infección exitosa. Se distribuye como la mayoría de ransomware, por correo electrónico o descargas fraudulentas y cifra los archivos alojados en el equipo.


Eliminacion de un Ransomware

Hay herramientas específicas contra los virus más conocidos que pueden ayudarte a desbloquear tus archivos. Pero, si estás infectado y el virus se ha activado, entonces los archivos de tu disco duro se habrán cifrado con uno de los algoritmos más populares de la criptografía moderna. Lo más probable es que no consigas descifrarlos. Lo que puedes hacer es formatear el disco para que tu PC vuelva a funcionar con normalidad, pero necesitarás una copia de seguridad anterior al ataque para recuperar también el contenido. Si no tienes una copia, no hay mucho más que puedas hacer.


Herramientas mas populares para la eliminación de Ransomware

De momento, están pensadas para liberar computadoras y recuperar los archivos de equipos con sistema operativo Windows afectados por alguno de estos ransomware:
- Alcatraz Locker
- Apocalypse
- BadBlock
- Bart
- Crypt888
- CrySiS
- Globe
- Legion
- NoobCrypt
- SZFLocker
- TeslaCrypt

Para ayudar al usuario a determinar cuál de ellos es el que ha secuestrado su equipo, en esta web se ofrece una lista de capturas de pantalla y el modus operandi de cada uno. Cada parche de descarga es un ejecutable con las instrucciones necesarias para eliminar el ransomware. 


Puede utilizarse la última herramienta Trend Micro Ransomware File Decryptor para intentar descifrar los archivos cifrados por ciertos tipos de ransomware.Como un recordatorio importante, la mejor protección contra el ransomware es impidiendo que nunca lleguen a su sistema. Mientras que Trend Micro está trabajando constantemente para actualizar nuestras herramientas, los programadores de ransomware están también cambiando constantemente sus métodos y tácticas, que pueden hacer que  versiones anteriores de herramientas como ésta queden obsoletas con el tiempo. Se recomienda seguir las siguientes practicas de seguridad:

 1) Asegúrate de que tienes fuera de línea o en la nube copias de seguridad periódicas de los datos más importantes y críticos.

 2) Asegúrese de que siempre está aplicando las últimas actualizaciones críticas y parches para su sistema operativo y otro software del sistema de claves (por ejemplo navegadores).
    
  3) Instalar las últimas versiones de configuraciones y aplicar las mejores herramientas de seguridad como Trend Micro para proporcionar seguridad mutli-capas.



¿Cómo Protegerse del Ransomware?


1. Haz un backup periódico de tus datos

La única herramienta y la más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. Si te ataca un ransomware podrás perder ese documento en el que comenzaste a trabajar esta mañana, pero si puedes restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde tu backup los documentos que estaban infectados, estarás tranquilo.
Recuerda que Cryptolocker también cifra archivos en unidades asignadas. Esto incluye todos los discos externos como las memorias USB, así como los espacios de almacenamiento en la red o en la nube para los que haya una letra de unidad asignada. Por lo tanto, lo que debes hacer es llevar un régimen periódico en un disco externo o servicio de backup, que no tenga asignada ninguna letra de unidad o que se pueda desconectar mientras no está haciendo el backup. Encontrarás más información en nuestra Guía de Backup.
Los siguientes tres consejos tienen que ver con la forma en que Cryptolocker se comporta, aunque es posible que no sea el caso de manera indefinida, pero aún así pueden ayudar a incrementar tu seguridad en general mediante pequeñas acciones, y evitar una variedad de técnicas de malwarecomunes.


2. Muestra las extensiones ocultas de los archivos

Con frecuencia, una de las maneras en que se presenta Cryptolocker es en un archivo con extensión “.PDF.EXE”, aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Si desactivas la casilla correspondiente, podrás ver la extensión completa de cada uno y será más fácil detectar los sospechosos.


3. Filtra los archivos .EXE del correo electrónico

Si tu sistema cuenta con una herramienta que permite filtrar adjuntos por extensión, puedes configurarlo para rechazar los correos que tengan archivos “.EXE” o con doble extensión, donde la última sea la del ejecutable (seleccionar los archivos “*.*.EXE” al configurar el filtro). Si necesitas intercambiar archivos ejecutables dentro de tu entorno y configuraste el sistema para rechazar los de tipo “.EXE”, igual podrás hacerlo convirtiéndolos a ZIP (protegidos por contraseña, por supuesto) o mediante servicios en la nube.


4. Deshabilita los archivos que se ejecutan desde las carpetas AppData y LocalAppData

Puedes crear reglas en Windows o mediante el software de prevención de intrusiones para bloquear un comportamiento en particular, típico de Cryptolocker: el hecho de que ejecuta su archivo .EXE desde la carpeta App Data o Local App Data. Si por alguna razón tienes un softwarelegítimo configurado para ejecutarse desde el área de App Data en vez de hacerlo desde Archivos de programa, deberás crear una excepción para esta regla.


5. Usa el Kit para la prevención de Cryptolocker

El kit para la prevención de Cryptolocker es una herramienta creada por Third Tier que automatiza la creación de una Política de Grupo para deshabilitar los archivos que se ejecutan desde las carpetas App Data y Local App Data. Además deshabilita los ejecutables que se abren desde el directorio Temp de diversas utilidades para comprimir archivos.
Esta herramienta se va actualizando a medida que nuevas técnicas de Cryptolocker salen a la luz, por lo que deberás verificarla en forma periódica para asegurarte de que tienes la última versión. Si necesitas crear excepciones para estas reglas, Third Tier suministra este documento que explica el proceso.


6. Deshabilita RDP

El malware Cryptolocker/Filecoder en general accede a las máquinas mediante el Protocolo de escritorio remoto (RDP, por sus siglas en inglés), una utilidad de Windows que les permite a terceros obtener acceso a tu equipo de escritorio en forma remota. Si no necesitas usar el protocolo RDP, puedes deshabilitarlo para proteger tu máquina de Filecoder y otros exploits RDP. Para ver las instrucciones, consulta el artículo correspondiente de Microsoft Knowledge Base.


7. Instala las revisiones y actualizaciones de tu software


Los siguientes dos consejos son más generales y sirven tanto para Cryptolocker como para cualquier otra amenaza de malware. Los cibercriminales con frecuencia se basan en que las personas usan software desactualizado con vulnerabilidades conocidas, lo que les permite usar un exploit e ingresar silenciosamente al sistema.
Si te haces el hábito de actualizar tu software con frecuencia, reducirás significativamente la posibilidad de convertirte en víctima del ransomware. Algunos fabricantes lanzan actualizaciones de seguridad periódicas de rutina, como por ejemplo Microsoft y Adobe, pero también existen actualizaciones adicionales no programadas para casos de emergencia. Siempre que sea posible, habilita las actualizaciones automáticas, o ve directamente al sitio web del fabricante, ya que a los creadores de malware también les gusta hacer pasar sus creaciones como actualizaciones de software.


8. Usa un paquete de seguridad confiable

Siempre es una buena idea tener un software antimalware y un firewall que te ayuden a identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes para evadir la detección, por lo que es importante contar con ambas capas de protección.
En la actualidad, la mayoría del malware se basa en recibir instrucciones remotas para llevar a cabo sus actividades maliciosas. Si te cruzas con una variante de ransomware tan nueva que logra pasar el software antimalware sin que la detecte, es posible que quede bloqueada por el firewall cuando intente conectarse con su servidor de Comando y Control (C&C) para recibir instrucciones sobre el cifrado de tus archivos.
Si te encuentras en una posición en la que ya ejecutaste el archivo del ransomware sin ninguna de las precauciones antes mencionadas, tus opciones ya son mucho más limitadas. Pero puede ser que no todo esté perdido. Hay algunas cosas que puedes hacer que quizás ayuden a mitigar los daños, en particular si el ransomware en cuestión es Cryptolocker.

 

9. Desconéctate del Wi-Fi o quita el cable de red de inmediato

Si ejecutaste un archivo que sospechas que puede tratarse de un ransomware, pero aún no apareció la pantalla característica en tu computadora, si actúas muy rápido, quizá puedas detener la comunicación con el servidor C&C antes de que termine de cifrar tus archivos. Si te desconectaste de la red inmediatamente (¿dejé bien en claro que debe hacerse en ese preciso instante?), puedes llegar a mitigar el daño.
Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.

 

10. Usa Restaurar sistema para volver a un estado sin infecciones

Si la funcionalidad Restaurar sistema está habilitada en tu equipo con Windows, es posible que puedas volver a un estado sin infecciones. Pero, una vez más, debes ser más inteligente que el malware. Las últimas versiones de Cryptolocker pueden incluir la capacidad de borrar archivos de respaldo de la restauración, es decir que ya no estarán allí cuando intentes reemplazar la versión que dañó el malware.
Cryptolocker comenzará con el proceso de borrado cada vez que se inicie un archivo ejecutable, por lo que debes ser muy rápido, ya que los ejecutables pueden iniciarse como parte de procesos automatizados. En otras palabras, pueden ejecutarse sin tu conocimiento, como parte normal del funcionamiento de tu sistema Windows.

 

11. Retrocede la hora en el reloj de la BIOS

Cryptolocker en general fija el límite de tiempo en 72 horas para realizar el pago, tras lo cual el precio para descifrar los archivos sube significativamente. El precio puede variar debido a que Bitcoin tiene un valor bastante volátil.
Lo que puedes hacer es retroceder la hora en el reloj de la BIOS a un punto anterior a que se cumplan las 72 horas.




Aunque el hecho de pagarles a los criminales puede llevarte a recuperar tus datos, hubo muchos casos en los que la clave de descifrado nunca llegó o no descifró los archivos. Además, ¡fomenta la conducta criminal! Ningún tipo de secuestro es una práctica comercial legítima, por lo tanto, los creadores de malware no tienen ninguna obligación de cumplir con lo acordado; pueden llevarse el dinero sin dar nada a cambio, ya que no existe ningún control ni sanción si no lo hacen.

AIDS Trojan, el primer ransomware

Aunque este tipo de malware lleva desde 2005 apareciendo como un problema de seguridad informática recurrente, el primero de todos ellos data de 1989, ni más ni menos. Nos referimos a AIDS Trojan, creado por el ingeniero Joseph L. Popp.
El virus se distribuyó a través de 20.000 disquetes infectados (una barbaridad para la época) a los comparecientes a las conferencias de la Organización Mundial de la Salud sobre el SIDA. Su principal arma era la criptografía simétrica, y no llevó mucho tiempo descifrar los nombres de los archivos para recuperarlos. Sin embargo, este pionero supuso el pistoletazo de salida a lo que ya son casi tres décadas de ransomware.

Casos mas conocidos de Ataques Ransomware

WannaCry

Wanna Cry es otro ransomware, una evolución de lo que podría ser CryptoLocker. Es un tipo de virus, del formato troyano, con la capacidad de introducirse en nuestro equipo explotando una vulnerabilidad de software.
El ransomware tiene como objetivo cifrar los archivos del equipo infectado para pedir un rescate vía BitCoins. Para que el proceso de encriptación sea más rápido solo encripta aquellos ficheros más críticos del usuario (doc, jpg, pdf) evitando encriptar archivos del sistema, para mayor velocidad.
La misión de Wanna Cry no es eliminar ni robar datos, sino encriptar tus datos personales y pedir un rescate si quieres recuperarlos. En este caso Wanna Cry pide unos 300$ en BitCoins por cada ordenador infectado.    
El ciberataque global con el virus 'extorsionador' WannaCry iniciado este mayo dejó unas 200.000 víctimas en al menos 150 países. El virus WannaCry es un fragmento de 'software' que 'secuestra' los archivos de una computadora para posteriormente pedir su 'rescate' a los usuarios a cambio de una suma de dinero. Varias empresas, hospitales e incluso entidades gubernamentales paralizaron parcial o totalmente sus operaciones tras haber sido infectadas.

Win32 / Filecoder.HydraCrypt.M
El laboratorio de análisis de malware de ESET ha alertado de un pico de actividad del malware Filecoder, un tipo de troyano que cifra los ficheros del usuario e intenta extorsionarlo para que pague un rescate si quiere descifrarlos. ESET Livegrid, el sistema de detección de malware basado en la nube de ESET, ha mostrado un incremento notable del 200% semana tras semana desde julio de 2013 con respecto al número de infecciones detectadas en el periodo comprendido entre enero y junio de este año. Una parte importante de la detección (el 44%) proviene de Rusia, pero también se ha detectado un importante número de infecciones en países del sur de Europa (especialmente en España e Italia), Europa Central y del Este (Alemania, República Checa, Polonia, Rumania y Ucrania) y en Estados Unidos.

Para infectar el sistema, los cibercriminales están usando varios vectores de ataque, como la descarga de malware desde sitios web, archivos adjuntos maliciosos en el correo electrónico, la instalación a través de otro troyano o backdoor e incluso una instalación manual por parte del atacante.

“La familia de malware Win32/Filecoder es más peligrosa que otras variantes de este ransomware, ya que normalmente cifran imágenes, documentos, música y otro tipo de ficheros. Se ha observado una amplia variedad de técnicas y niveles de sofisticación en diferentes variantes a lo largo del tiempo”, explica Robert Lipovský, analista de malware en ESET. “Esto puede resultar muy caro. Las variantes de malware de este tipo normalmente solicitan sumas que varían entre los 100€ y los 200€. No obstante, se han detectado casos en los que se pedían cantidades que llegaban a los 3.000€. Este incremento en la cantidad que se solicita se debe a que los atacantes se centran en empresas que pueden permitirse pagar rescates más elevados que los usuarios”, añade. Una variante reciente pone a la víctima bajo presión al mostrar una cuenta atrás indicando que la clave de cifrado se borrará de forma permanente, haciendo que la recuperación de los ficheros cifrados sea prácticamente imposible.

ESET recomienda a todos los usuarios que se protejan utilizando un software antivirus actualizado (los productos de ESET detectan estos ficheros peligrosos). No obstante, también es una buena idea proteger la configuración del software antimalware para prevenir que ésta se vea modificada por un atacante. La generación de copias de seguridad periódicas también resulta esencial para poder restaurar los ficheros que hayan sido cifrados por el malware.

 ARTICUL0
Jhonatan Zu

Share this

Related Posts

Next
« Prev Post
First

Suscribirse a: Enviar comentarios (Atom)

Entrada destacada

¿CUAL ES LA DIFERENCIA ENTRE DISCO DURO, RAM, CACHE Y BUFFER?

¿CUAL ES LA DIFERENCIA ENTRE DISCO DURO, RAM, CACHÉ Y BUFFER? Es común que muchas personas se confundan respecto a las diferencias ...