Cómo sobrevivir a una infección de ransomware

El código malicioso que secuestra archivos y exige un rescate se convirtió en una de las amenazas informáticas más fuertes; usuarios uruguayos han tenido que pagar para recuperar su información
Entre setiembre de 2013 y junio de 2014, un software malicioso conocido como CryptoLocker infectó unas 500 mil computadoras en todo el mundo, incluidas dos de la NASA. En el proceso de "desinfección", sus creadores se embolsaron más de US$ 3 millones. CrytoLocker corresponde al tipo de ransomware de la peor calaña: aquellos que secuestran archivos y que, según su sofisticación, son imposibles de recuperar.

CryptoLocker, TorrentLocker, CoinVault, CTB-Locker, Locky, TeslaCrypt, entre otros, forman parte de la amenaza informática de crecimiento más acelerado desde 2014. Estos operan de la siguiente forma: se cuelan en un archivo adjunto o en un enlace en un mail o a través de una red peer-to-peer (P2P) para compartir archivos, haciéndose pasar por claves de activación para programas populares. Una vez dentro del sistema, buscan las presas para cifrar y al final exigen una transferencia electrónica para entregar los datos. También pueden afectar los archivos alojados en unidades de red o carpetas que se encuentran en la nube. La clave del cifrado no puede adivinarse por fuerza bruta (probando todas las combinaciones posibles) ni extraerse de la memoria del equipo.

"Es un ataque sumamente invasivo. Las computadoras son una extensión de nuestra intimidad. El ransomware nos quita acceso a algo que es absolutamente nuestro", definió Santiago Paz, director del Centro Nacional de Respuesta a Incidentes de Seguridad Informática del Uruguay (CERTuy). Documentos, fotos, contraseñas, no importa lo que sea; lo único que les interesa a los cibercriminales es cobrar por el secuestro.

Los peores virus

En Uruguay el CERTuy intervino en organizaciones estatales y privadas por infecciones por CTB-Locker, Locky y TeslaCrypt desde el primer semestre de 2015. Desde ese entonces aumentó la cantidad de casos. Al igual que sucede con las estadísticas del Ministerio del Interior, se desconoce el número de infecciones reales, porque la mayoría de las víctimas no denuncia; o no les importa perder algo de información o pagan el rescate.

"Por suerte no tuvimos ningún caso irrecuperable. Fueron ataques que implicaron mucha cantidad de archivos encriptados; sin embargo, se recuperó la mayor parte", señaló Paz. Una empresa tuvo que pagar US$ 2.000 para recuperar sus datos. "No tenía backup. Lamentablemente marchó", añadió.
Maximiliano Alonzo, experto de seguridad en TIB, asistió a dos estudios jurídicos por infecciones por CryptoLocker y TeslaCrypt, respectivamente. Uno de ellos debió pagar US$ 1.000 para recuperar la información de 12 años de trabajo. "Los algoritmos eran indescifrables. No hubo otra que pagar", comentó a Cromo. Estas empresas habían cometido los peores pecados: una no tenía respaldo de sus datos y la otra no tenía actualizado el antivirus.

Una particularidad de CTB-Locker es que una de sus versiones está enfocada a los usuarios latinoamericanos, con instrucciones para realizar los pagos en español. TeslaCrypt se caracteriza por cifrar archivos pertenecientes a videojuegos. Locky, por su parte, fue uno de los más prolíficos en 2015. Infectó al ritmo de 90 mil dispositivos por semana. El Departamento de Seguridad Nacional de Estados Unidos lo calificó como una variante "destructiva". Este se propaga a través de correos con un archivo adjunto corrompido. Una vez dentro de la máquina, se apodera de los documentos de más de 100 extensiones (.doc, .jpg, .MP4, .zip, entre otros, a los que cambia a .locky) y luego se borra a sí mismo. Acto seguido aparece el mensaje del pago. Lucas Paus, experto de seguridad en ESET, dijo lo inevitable: "La información es casi imposible de recuperar".

Ransomware

"Se busca"

Hay otra familia de ransomware un poco más fácil de solucionar pero no por ello menos impertinente o dañina. Sus integrantes bloquean el equipo de la víctima. El más famoso es el llamado Reveton o Virus de la Policía. Este muestra un falso mensaje que dice que el usuario ha infringido la ley, por ejemplo, por descarga de pornografía, por lo que debe pagar una multa. "Este código malicioso tiene una forma de buscar la IP para saber tu país y a partir de eso genera una imagen de la Policía local", apuntó Paus. Además, enciende la webcam, saca una foto y la adjunta al mensaje al mejor estilo de los carteles "se busca". Sus damnificados reaccionan por temor. En algunos países, este virus llegó a reclamar entre "100 y 200 salarios mínimos". En Uruguay, eso equivaldría a casi a US$ 70 mil.

Otro del estilo es Petya. Lo primero que ve la víctima es "la pantalla azul de la muerte". Si bien el nombre es tremebundo, se trata de algo muy conocido: es la pantalla que obliga a reiniciar el PC. Lo peor viene después. El malware realiza una simulación de "comprobación de disco" mientras cifra el sistema de archivos. "Después aparece una calavera en rojo titilando", contó Paus. La buena noticia es que existen herramientas para recuperar la información comprometida.

hacker-keyboard.jpg

Pagar o no pagar

Del ransomware no escapa Windows, Linux, MAC, iOS ni Android; es más, los ataques a móviles son cada vez más frecuentes. Simplocker y Lockerpin son ejemplos diseñados para la plataforma móvil de Google.

También se han vistos códigos maliciosos en publicidades alojadas en sitios muy visitados a la espera de navegadores desactualizados. Ya se han reportado casos de ransomware infiltrado a través de los portales de Yahoo, eBay, Disney y Facebook, entre otros.

¿Cuál será el próximo blanco? Los otros dispositivos inteligentes, como televisores y relojes. ¿Y otro a futuro? Todo lo que esté conectado a internet. "Pueden pedirte dinero hasta para que arranques tu auto inteligente", apuntó Paus. O peor, pueden pedir un rescate para dejar entrar o salir al dueño de una casa inteligente.

De acuerdo con ESET, se identifican más de 200 mil nuevas variantes de códigos maliciosos por día. Y el ransomware no tiene pinta de irse a ningún lado. Su larga vida se explica con solo una palabra: rentabilidad. La cantidad solicitada por los cibercriminales, en promedio, oscila entre 1 y 2 bitcoins, equivalentes a US$ 400 y US$ 800. El pago sube a medida que pasa el tiempo de la infección. Cuando Alonzo acudió a una de las empresas afectadas ya se les pedía US$ 1.000. El uso de esta criptomoneda es para la víctima otra cuchillada: lo más probable es que no sepa ni qué es ni dónde conseguirla. Alonzo consiguió los bitcoins en Mercado Libre.

Solo uno llamado Cryptowall causó US$ 325 millones en pérdidas, en 2015, por pago de rescates pero también por los gastos que tuvieron que hacer las empresas (horas de trabajo para resolver los problemas).

Los capos del ransomware han infectado incluso a comisarías que, en algunos casos, impotentes, han pagado el rescate. Así sucedió en el Departamento de Policía de Massachusetts donde se tomó la decisión de pagar, US$ 500 en bitcoins tras cinco días con los sistemas informáticos inoperativos tras una infección con CryptoLocker.

Pagar o no pagar, esa es la cuestión. Paus y Alonzo recomiendan no hacerlo. Al pagar se "está apoyando una actividad ilícita", opinó el primero. Además, no hay garantía de la restitución de los archivos cifrados ni del acceso al sistema. Al saber que la víctima está dispuesta a pagar, el cibercriminal puede aprovecharse y perpetrar más ataques. Puede, por ejemplo, dejar otro malware en el equipo. No obstante, en todos los casos que intervinieron los expertos, se devolvió la información. "A las 12 horas de haber pagado el rescate, enviaron un mail con la clave del cifrado. Pero pagar es dar un verdadero salto de fe en el delincuente", expresó Alonzo.

Al director del CERTuy le preocupa que los atacantes afinen más el lápiz. "Me gustaría saber cómo están evaluando el negocio los dueños de las botnets", comentó a Cromo. Estos cobran por el manejo de una red de computadoras zombis que mantienen infectadas para cometer otros ciberdelitos. "Si se deciden transformar sus 100 mil bots (o más) en casos de ransomware, van a tener un impacto altísimo", añadió. Y sobre el potencial destructivo fue categórico: "El ransomware te mata de un día para el otro".


encriptado2col.JPG

Cómo protegerse

Si no hay una copia de seguridad reciente o una tecnología preventiva, es muy poco lo que un usuario puede hacer en caso de ser víctima de un ransomware. Por esto, la prevención es la mejor cura. Expertos consultados por Cromo señalaron que lo más importante es contar con respaldos periódicos de la información (no más allá de tres meses) y con las actualizaciones del sistema operativo y del antivirus instaladas en los equipos. Como el principal vector de propagación es el correo, el usuario debe procurar no divulgar la dirección personal más de lo que sea necesario ni publicarla en lugares desconocidos.

Una recomendación es que los dispositivos de respaldo no estén conectados constantemente al equipo, sea por conexiones físicas –USB o similares–, conexiones de red o tipo carpeta compartida para evitar que se cifre la copia de seguridad.


Herramienta

ESET lanzó una herramienta de descifrado para todas las variantes del ransomware TeslaCrypt que desinfecta incluso las variantes más recientes (variantes 3 o 4). Esta herramienta de ESET permite la recuperación de los archivos cifrados por TeslaCrypt con las extensiones .xxx, .ttt, .micro .mp3 o incluso aquellos archivos que no habían cambiado su extensión pero estaban afectados por este tipo de malware. Hace poco, los operadores de TeslaCrypt anunciaron que estaban concluyendo con sus actividades maliciosas y ESET obtuvo la clave. Gracias esto, se ha podido crear una herramienta gratuita de descifrado que permite desbloquear los archivos afectados por cualquier versión del ransomware.


Populares de la sección

Acerca del autor