¿Qué es realmente el ransomware?

¿Qué tienes en tu computadora? ¿Correos electrónicos importantes, archivos secretos de la oficina o incluso fotos antiguas de sus hijos? Durante el transcurso de la vida de una computadora, se acumulan en el disco duro muchos datos que pueden ser personales, tal vez incluso relacionados con los negocios, pero en cualquier caso sensibles. Y eso es lo que te hace vulnerable al chantaje. Si en lugar de su pantalla de inicio habitual de repente solo aparece una calavera o una carta de chantaje en su monitor, es probable que se trate de un ransomware.

¿Qué significa “ransomware”?

El “ransomware” hace exactamente lo que dice: retiene datos o sistemas para obtener un rescate. Los expertos a veces también hablan de troyanos de cifrado: el esquema de rescate se basa en el hecho de que este tipo de ransomware cifra los datos del usuario. Los otros nombres indican cómo funciona el ransomware. Se infiltra en el sistema, a menudo disfrazado de programa legítimo, y el usuario se da cuenta con horror de que la computadora ha sido bloqueada. 

¿Cómo se da a conocer el ransomware?

Generalmente, una pantalla bloqueada o una nota de rescate que no se puede eliminar es lo primero que ve el usuario del ransomware. Algunas variantes de ransomware tienen un período de incubación, lo que significa que los efectos maliciosos solo se ven cuando el usuario ya no puede recordar cuándo y dónde pudo haber recogido un troyano de rescate.

Idealmente, un escáner de virus puede detectar el malware y aparecer como un resultado positivo del análisis. Sin embargo, las personas que no tengan una solución antivirus instalada solo notarán el ransomware cuando ya sea demasiado tarde. Como muchos troyanos de rescate se borran a sí mismos nuevamente después de ejecutar su función maliciosa, es un verdadero desafío para el software de seguridad detectar el malware. Lo primero que ve el usuario de la computadora del ransomware es una ventana de información con una demanda de pago que no se puede eliminar.

Ejemplos de ransomware

¿Qué importancia tiene el tema de la protección de datos para los usuarios?

¿Cómo pude haber detectado ransomware?

Lo complicado del ransomware es que, como la mayoría de los troyanos, se esconde detrás de enlaces o formatos de archivo aparentemente inofensivos. El troyano de cifrado Petya, por ejemplo, se distribuye cuando usuarios desprevenidos abren un archivo de Dropbox. El usuario descarga el malware al hacerlo. Si luego hace clic en el archivo descargado en su PC, lo ejecuta y Petya comienza a distribuirse por todo el sistema. Por lo tanto, Petya depende de la asistencia involuntaria del usuario, que cree que está abriendo un archivo estándar, pero en realidad está activando la instalación del ransomware.

Esto significa que sus rutas de distribución apenas difieren de las de otros tipos de malware. Los archivos a menudo llegan a la computadora a través de un sitio web manipulado, a través de un enlace en un correo electrónico no deseado o un mensaje en una red social. A veces, los perpetradores envían sus propios correos electrónicos que contienen un supuesto recordatorio o una nota de entrega. Sin embargo, en realidad, hay malware en lugar de información importante escondida en el archivo adjunto.

¿Cuánto tiempo ha existido el ransomware?

Chantajear a los usuarios de PC de esta manera no es nada nuevo. El primer ransomware documentado, el disco troyano AIDS, se distribuyó en 1989 y se distribuyó a través de un disquete en ese momento. El biólogo evolutivo y graduado de Harvard Joseph L. Popp envió 20.000 disquetes infectados con el encabezado “Información sobre el SIDA – Disquete introductorio” a los participantes de la Conferencia Internacional sobre el SIDA de la Organización Mundial de la Salud y así introdujo el ransomware en sus computadoras. El malware reemplazó un archivo de configuración del sistema (autoexec.bat) y, después de noventa reinicios, comenzó a cifrar el disco duro. Para volver a acceder a los datos, las víctimas tuvieron que enviar US $ 189 a una empresa llamada PC Cyborg en Panamá, razón por la cual el primer ransomware también se conoció como el troyano PC Cyborg.

¿Qué sucede exactamente cuando el ransomware ingresa a la computadora?

Al hacer clic en un enlace en un correo electrónico a un sitio web o Dropbox, se activa la descarga del instalador; así es como el troyano de cifrado Petya infectó con éxito tantas computadoras en la primavera de 2016. Petya obliga a la computadora a reiniciarse y luego reemplaza el registro de inicio maestro (MBR) con una rutina de carga maliciosa. Petya luego obliga a la computadora a reiniciarse nuevamente y le finge al usuario que se está verificando la estructura del sistema de archivos, como es el caso, por ejemplo, después de una falla del sistema. Pero Petya no está comprobando la eficiencia funcional del sistema. Petya no cifra los datos en sí, solo los hace inaccesibles para el usuario. La computadora ya no puede detectar los archivos y ni siquiera puede determinar si todavía están allí. Después de otro reinicio forzado, aparece la pantalla de bloqueo con las demandas de los chantajistas. Con muchos tipos de ransomware, en esta etapa es difícil descifrar los archivos sin realizar un pago. Petya, sin embargo, ahora ha sido descifrado, por lo que ya nadie necesita hacer un pago de rescate para que sus datos descifren nuevamente

¿Cómo funciona el ransomware?

Inicialmente, los programas de rescate se usaban principalmente para bloquear los escritorios de PC individuales. Hoy en día, estos pequeños ataques se han vuelto bastante raros. Los programas de cifrado se encuentran con mucha más frecuencia que estos bloqueadores de pantalla en estos días. Con estos, los contenidos del disco duro se encriptan de tal forma que el usuario ya no puede acceder a ellos. Generalmente, se muestra un sitio web o una máscara de formulario en la pantalla de bloqueo que explica las demandas y los métodos de pago. Los chantajistas prometen que volverán a descifrar los datos una vez que se haya recibido el pago.

Los perpetradores más endurecidos amenazan con eliminar los datos de forma permanente si la víctima se comunica con la policía. En la actualidad incluso existe un ransomware que elimina los archivos cifrados por cada hora por la que no se realiza el pago. Y para evitar que el usuario supere la amenaza apagando la PC, el software elimina mil archivos cuando se reinicia el sistema.

¿Y cómo ha cambiado la situación de amenaza desde entonces?

El primer troyano de cifrado distribuido a través de la red fue TROJ_PGPCODER.A. Los chantajistas exigieron varios cientos de dólares para descifrarlo. Eso fue en 2005. Desde 2011, los expertos en seguridad han registrado un rápido aumento en los ataques de ransomware. La Oficina Federal Alemana para la Seguridad de la Información (BSI) advirtió: “Desde mediados de septiembre de 2015, la situación de amenaza del ransomware se ha intensificado significativamente”. Especialmente en Alemania, los escáneres de virus se han encontrado cada vez más con ransomware desde principios de 2016, agregó la BSI. Las soluciones de seguridad encontraron más de 10 veces más ransomware en Alemania en febrero de 2016 en comparación con octubre de 2015. Esta tendencia también se observa en el resto del mundo; globalmente, el número de detecciones se ha multiplicado por 6 durante este período.

¿Cómo ganan exactamente los chantajistas con esto?

El aumento en la cantidad de archivos de ransomware que circulan se debe al hecho de que ahora son muy fáciles de producir. Hay los llamados kits de crimeware en Darknet que se pueden usar para armar malware en un principio modular. También es muy fácil y económico programar ransomware, o programarlo. Los delincuentes ponen un poco de dinero para generarlo, pero pueden ganar mucho en el mejor de los casos. Los perpetradores informan a las víctimas de las opciones de pago a través de la pantalla de bloqueo. A los ciberdelincuentes se les paga a través de tarjetas Paysafe o Ukash o con la moneda en línea Bitcoin. El rescate ronda los 400 euros en muchos casos. Sin embargo, a veces se exigen varios miles de euros para el descifrado. Depende de la importancia de los datos, como en el caso del chantaje a los hospitales con Locky. Cuando la víctima haya realizado el pago.

¿Cómo puedo protegerme?

  1. Copias de seguridad : la mejor protección contra el ransomware es realizar copias de seguridad periódicas . Aquellos deben almacenarse en un medio separado del sistema. Si ejecuta una copia de seguridad en un disco duro externo, elimínela después de la copia de seguridad y asegúrese de que este medio de almacenamiento esté fuera de línea a menos que sea necesario. Con copias de seguridad periódicas, puede asegurarse de no perder ningún dato en caso de una infección de ransomware real y puede restaurar fácilmente su sistema. Al hacerlo, asegúrese de utilizar un medio seguro, como un CD, que no pueda infectarse también.
  2. Sistema operativo : además de esto, se deben realizar actualizaciones periódicas de su sistema operativo. De esta forma puede cerrar los agujeros de seguridad. Lo mismo se aplica a su navegador y cualquier otro software instalado en su sistema.
  3. Protección del navegador : la protección del navegador también es útil para protegerte de scripts peligrosos y de la descarga accidental de malware.
  4. Protección de correo electrónico : los correos electrónicos falsos y fraudulentos se pueden proteger mientras aún están en su bandeja de entrada a través de un software de seguridad especial. De esa forma, esos correos electrónicos dejarán de ser un problema. El software antivirus también detecta malware, como troyanos, y lo elimina.
  5. Ransomware-Cleaner : Existe una solución de software contra los bloqueadores de pantalla, que le ayuda a eliminar la pantalla de bloqueo y la amenaza por igual.
  6. Cuenta de usuario : también se puede prevenir una infección si el usuario no inicia sesión con su cuenta de administrador en todo momento, sino que configura una cuenta de invitado. Como esta cuenta tiene menos derechos, el ransomware no puede penetrar tan profundamente en el sistema e, idealmente, no causará ningún daño.

¿Los perpetradores realmente descifrarán mis datos si pago el rescate?

Siempre se recomienda precaución y escepticismo al tratar con delincuentes. Muchos de los delincuentes no tienen interés en el juego limpio desde el principio, y algunos ni siquiera han hecho planes para una opción de descifrado. Para ellos, todo es cuestión de dinero. Cualquiera que no haya realizado una copia de seguridad perderá inevitablemente sus archivos después de que la computadora haya sido infectada con ransomware. Por tanto, hay algo que aprender de las películas de acción: no negocie con los chantajistas.

La Oficina Federal Alemana para la Seguridad de la Información (BSI) desaconseja dar seguimiento a las demandas. Nadie debería esperar ser tratado con justicia por los delincuentes. Además, cualquiera que pague un rescate con tarjeta de crédito está convirtiendo su cuenta en una tienda de autoservicio. Un chantajista también puede exigir repentinamente más dinero para liberar los datos, o volver a cifrar los datos en una fecha posterior a través de una puerta trasera en el sistema y exigir más dinero, incluso si al principio parece que ha cumplido su promesa y ha publicado los datos. Por lo tanto, pagar un rescate es un riesgo en múltiples niveles.

¿Qué debo tener en cuenta si quiero pagar el rescate?

Si desea pagar el rescate a pesar de todas las advertencias, no debe eliminar ninguno de los componentes del ransomware de la PC de antemano. Dependiendo de las circunstancias, estos pueden ser el candado en el que debe colocar la llave que podría recibir después de realizar el pago. Sin un candado, el código de descifrado podría quedar inutilizable y sus datos permanecerán cifrados de forma irrecuperable. Además, los componentes pueden ser importantes en el caso de que las autoridades de investigación logren contraatacar a los ciberdelincuentes; a menudo hay descifradores que pueden ayudar a los afectados a recuperar sus datos sin realizar un pago. La información contenida en los componentes sería necesaria para generar la clave de recuperación.

Si realmente recibió una clave y pudo descifrar sus archivos con ella, debe eliminar inmediatamente el ransomware de su computadora. Sin embargo, nunca debes perder de vista el hecho de que los delincuentes no se sienten obligados contigo de ninguna manera y que puedes haber perdido dinero y datos. También manténgase al día con las maquinaciones de los criminales. Porque si nadie les paga, la distribución de ransomware ya no valdrá la pena para los delincuentes.

¿Cómo elimino el ransomware?

Si se ha convertido en víctima de un ataque a pesar de sus mejores esfuerzos, solo una cosa le ayudará: eliminar el malware de su computadora. La forma más confiable y completa de eliminar el ransomware es restablecer el sistema a la configuración de fábrica. Antes de elegir esta opción, debe darse cuenta de que todos los archivos de la computadora se perderán irremediablemente después. Alternativamente, si ha realizado copias de seguridad regulares del sistema, puede restablecer su sistema a un punto en el tiempo antes de que ocurriera la infección. Seleccione el punto de restauración más reciente. Al hacerlo, siempre debe asegurarse de que este punto sea efectivamente anterior al momento de la infección. De esta manera, puede eliminar el malware de su computadora.

Troyanos de cifrado

Un troyano de cifrado o un troyano criptográfico cifra los archivos en la computadora y requiere un rescate para descifrarlos. Algunas familias de troyanos cifran solo ciertos tipos de archivos, como imágenes, documentos o películas. Otros cifran todos los tipos de archivos y solo conservan unas pocas carpetas. Las familias populares son CryptoLocker (ya no está activo), CryptoWall, CTB-Locker, Locky, TeslaCrypt y TorrentLocker. Una forma bastante nueva es Petya. En lugar de cifrar archivos individuales, cifra la tabla maestra de archivos (la tabla de contenido) del disco duro. Después de lo cual, los archivos ya no se pueden encontrar en el disco duro.

App-Locker

Este tipo de ransomware chantajea a los usuarios impidiendo el acceso a aplicaciones y programas. Por ejemplo, el navegador o el acceso a la gestión del almacenamiento de red (NAS) está bloqueado. En algunos casos, se pueden anular con herramientas estándar. Solo hay unas pocas familias de malware de este tipo, un ejemplo es Synolocker. El nombre se deriva del hecho de que la compañía de malware está apuntando a productos de Synology, un fabricante de soluciones NAS.

Screenlocker

Un bloqueador de pantalla bloquea el acceso a la computadora al mostrar una pantalla de bloqueo que se mueve constantemente al primer plano y también puede terminar otros procesos. Como resultado, la computadora ya no se puede operar. La familia más conocida en esta categoría es Reveton, también conocida como BKA-Trojans, GEZ-Trojans o FBI-Trojans.

Híbridos

También hay ransomware que combina el bloqueo de pantalla y el cifrado. Esto hace que la restauración de los datos lleve aún más tiempo. También aquí hay solo unas pocas categorías, por ejemplo, Quimera.

¿Qué puede hacer el software contra el ransomware?

  • Detección basada en firmas mediante un escáner de virus

Para las familias de ransomware ya conocidas, la detección más sencilla y eficaz es mediante firma. Las firmas reconocen en el código de un archivo las secuencias de comandos que son responsables de las acciones maliciosas y son típicas de un grupo o familia de malware en particular. Un signo inconfundible de la detección de ransomware es la visualización de un nombre de firma como Trojan-Ransom y el apellido como Win32.Trojan-Ransom.Petya.A. Actualmente distinguimos más de 120 familias de ransomware. Entre ellos nombres tan destacados como Cryptowall, Locky, CTB-Locker y CryptXXX.

Las firmas no solo pueden reconocer las acciones típicas de Ransomware. El malware a menudo se detecta mediante secuencias de código universales que son típicas de la compresión, el cifrado, las rutinas de descarga, las actividades de puerta trasera, los mecanismos de camuflaje y mucho más. Las firmas heurísticas y genéricas reconocen tales secuencias de comandos generalmente válidas incluso en familias previamente desconocidas.  

  • Tráfico de red

Muchas familias de ransomware solo se activan cuando se comunican con su servidor de control y reciben comandos. Una vez que se conocen los servidores de control, puede bloquear el acceso a ellos. Si no se puede establecer la comunicación con el servidor de control, el ransomware permanece inactivo. Además, la forma en que se establece la conexión y la forma en que se transmiten los datos son típicos de Ransomware y pueden detectarse y bloquearse.

  • Detección de comportamiento

La detección basada en el comportamiento supervisa todas las aplicaciones en ejecución para detectar actividades sospechosas. Si un programa malicioso ha logrado ingresar al equipo, evita posibles daños. La detección está diseñada para detectar las primeras acciones de malware. Varias familias de ransomware se propagan a través de sitios web manipulados o banners dañinos. Utilizan agujeros de seguridad (engl. Para explotar), con el fin de secuestrar las computadoras cuando visitan el sitio web.

La forma en que ocurren estos ataques muestra acciones típicas en el sistema que son detectadas por métodos especiales de protección basados ​​en el comportamiento. Si los indicadores individuales no son suficientes, también se utilizan combinaciones y secuencias de diferentes áreas para la evaluación.

  • Comportamiento de instalación

Cuando un ransomware ha infectado un sistema, se llevan a cabo procesos característicos mediante los cuales se puede detectar el malware. A menudo, la infección se produce sin una ventana visible. En muchos casos, el sistema se examina en el primer paso antes de cargar más software. Se crean archivos de configuración típicos y / o entradas de registro, por nombrar solo algunos ejemplos.

  • Persistencia

Para volver a activarse después de reiniciar la computadora, el Ransomware debe usar uno de los muchos mecanismos de inicio automático. Este procedimiento sigue patrones típicos. Estos pueden ser reconocidos por ciertas actividades del sistema y terminados. Se considera muy sospechoso cuando muchos archivos individuales están cifrados. Si se agregan más características, como un proceso desconocido o ninguna ventana visible, la acción finaliza. 

  • Ataques desde la Web

En muchos casos, el ransomware se distribuye a través de sitios web u otros servicios de Internet. La nube de URL de G DATA se actualiza constantemente con las URL actuales que se sabe que generan malware. Si se sabe que un sitio es dañino, nuestro software bloquea el acceso. Además, todos los datos que ingresan al navegador se verifican en busca de malware, ya sean descargas de archivos o scripts activos en el sitio web.

  • Protección contra el spam

Los correos electrónicos también se utilizan a menudo para distribuir ransomware. Antes de que otros mecanismos de protección, como la protección web y los escáneres de virus, verifiquen el contenido del correo, el correo debe entregarse en el buzón. Nuestra excelente protección contra correo no deseado con tecnología OutbreakShield detecta correos electrónicos maliciosos a medida que se encuentran en tránsito, en función de cómo se propagan. El correo electrónico con contenido dañino a menudo no se entrega en absoluto o se elimina del buzón.

  • Foco en Ransomware en los sistemas de análisis de SecurityLabs

En G DATA SecurityLabs se analizan diariamente muchos cientos de miles de archivos. Los procedimientos de búsqueda en los sistemas de análisis automático están diseñados para identificar tanto malware como sea posible. También podemos utilizar métodos que normalmente los clientes no pueden utilizar porque, por ejemplo, son demasiado intensivos en computación. Cuando los resultados son claros, los mecanismos de protección como las URL y las listas negras de archivos en la nube se actualizan automáticamente y se crean firmas para los escáneres de virus.

Los analistas de malware evalúan las muestras sospechosas que aún son dudosas. En estos procesos comunes hemos incluido métodos de detección especiales con los que el ransomware se detecta inmediatamente y luego se procesa con alta prioridad. Además, la metodología Ransomware se analiza con especial intensidad. Estos análisis son la base para las firmas heurísticas, para los filtros de URL de los nombres de dominio generados recientemente o para la adición de reglas para la detección basada en el comportamiento.

Link: https://www.gdatasoftware.com/guidebook/what-actually-is-ransomware

Autor: Blog G DATA