¿Qué tienes en tu computadora? ¿Correos electrónicos importantes, archivos secretos de la oficina o incluso fotos antiguas de sus hijos? Durante el transcurso de la vida de una computadora, se acumulan en el disco duro muchos datos que pueden ser personales, tal vez incluso relacionados con los negocios, pero en cualquier caso sensibles. Y eso es lo que te hace vulnerable al chantaje. Si en lugar de su pantalla de inicio habitual de repente solo aparece una calavera o una carta de chantaje en su monitor, es probable que se trate de un ransomware.
¿Qué
significa «ransomware»?
El “ransomware” hace exactamente lo que dice: retiene datos o sistemas para obtener un rescate. Los expertos a veces también hablan de troyanos de cifrado: el esquema de rescate se basa en el hecho de que este tipo de ransomware cifra los datos del usuario. Los otros nombres indican cómo funciona el ransomware. Se infiltra en el sistema, a menudo disfrazado de programa legítimo, y el usuario se da cuenta con horror de que la computadora ha sido bloqueada.
¿Cómo
se da a conocer el ransomware?
Generalmente, una pantalla bloqueada o una
nota de rescate que no se puede eliminar es lo primero que ve el usuario del
ransomware. Algunas variantes de ransomware tienen un período de
incubación, lo que significa que los efectos maliciosos solo se ven cuando el
usuario ya no puede recordar cuándo y dónde pudo haber recogido un troyano de
rescate.
Idealmente, un escáner de virus puede
detectar el malware y aparecer como un resultado positivo del análisis. Sin
embargo, las personas que no tengan una solución antivirus instalada solo
notarán el ransomware cuando ya sea demasiado tarde. Como muchos troyanos
de rescate se borran a sí mismos nuevamente después de ejecutar su función
maliciosa, es un verdadero desafío para el software de seguridad detectar el
malware. Lo primero que ve el usuario de la computadora del ransomware es
una ventana de información con una demanda de pago que no se puede eliminar.
Ejemplos de ransomware
¿Qué importancia tiene el tema de la protección de datos para los usuarios?
¿Cómo
pude haber detectado ransomware?
Lo complicado del ransomware es que, como la mayoría de los
troyanos, se esconde detrás de enlaces o formatos de archivo aparentemente
inofensivos. El troyano de cifrado Petya, por ejemplo, se distribuye
cuando usuarios desprevenidos abren un archivo de Dropbox. El usuario
descarga el malware al hacerlo. Si luego hace clic en el archivo
descargado en su PC, lo ejecuta y Petya comienza a distribuirse por todo el
sistema. Por lo tanto, Petya depende de la asistencia involuntaria del
usuario, que cree que está abriendo un archivo estándar, pero en realidad está
activando la instalación del ransomware.
Esto significa que sus rutas de distribución apenas difieren de
las de otros tipos de malware. Los archivos a menudo llegan a la
computadora a través de un sitio web manipulado, a través de un enlace en un
correo electrónico no deseado o un mensaje en una red social. A veces, los
perpetradores envían sus propios correos electrónicos que contienen un supuesto
recordatorio o una nota de entrega. Sin embargo, en realidad, hay malware
en lugar de información importante escondida en el archivo adjunto.
¿Cuánto tiempo ha existido el ransomware?
Chantajear a los usuarios de PC de esta manera no es nada nuevo. El
primer ransomware documentado, el disco troyano AIDS, se distribuyó en 1989 y
se distribuyó a través de un disquete en ese momento. El biólogo evolutivo
y graduado de Harvard Joseph L. Popp envió 20.000 disquetes infectados con el
encabezado «Información sobre el SIDA – Disquete introductorio» a los
participantes de la Conferencia Internacional sobre el SIDA de la Organización
Mundial de la Salud y así introdujo el ransomware en sus computadoras. El
malware reemplazó un archivo de configuración del sistema (autoexec.bat) y,
después de noventa reinicios, comenzó a cifrar el disco duro. Para volver
a acceder a los datos, las víctimas tuvieron que enviar US $ 189 a una empresa
llamada PC Cyborg en Panamá, razón por la cual el primer ransomware también se
conoció como el troyano PC Cyborg.
¿Qué sucede exactamente cuando el
ransomware ingresa a la computadora?
Al hacer clic en un enlace en un correo electrónico a un sitio web
o Dropbox, se activa la descarga del instalador; así es como el troyano de
cifrado Petya infectó con éxito tantas computadoras en la primavera de 2016.
Petya obliga a la computadora a reiniciarse y luego reemplaza el registro de
inicio maestro (MBR) con una rutina de carga maliciosa. Petya luego obliga
a la computadora a reiniciarse nuevamente y le finge al usuario que se está
verificando la estructura del sistema de archivos, como es el caso, por
ejemplo, después de una falla del sistema. Pero Petya no está comprobando
la eficiencia funcional del sistema. Petya no cifra los datos en sí, solo
los hace inaccesibles para el usuario. La computadora ya no puede detectar
los archivos y ni siquiera puede determinar si todavía están allí. Después
de otro reinicio forzado, aparece la pantalla de bloqueo con las demandas de
los chantajistas. Con muchos tipos de ransomware, en esta etapa es
difícil descifrar los archivos sin realizar un pago. Petya, sin embargo,
ahora ha sido descifrado, por lo que ya nadie necesita hacer un pago de rescate
para que sus datos descifren nuevamente
¿Cómo funciona el ransomware?
Inicialmente, los programas de rescate se usaban principalmente
para bloquear los escritorios de PC individuales. Hoy en día, estos
pequeños ataques se han vuelto bastante raros. Los programas de cifrado se
encuentran con mucha más frecuencia que estos bloqueadores de pantalla en estos
días. Con estos, los contenidos del disco duro se encriptan de tal forma
que el usuario ya no puede acceder a ellos. Generalmente, se muestra un
sitio web o una máscara de formulario en la pantalla de bloqueo que explica las
demandas y los métodos de pago. Los chantajistas prometen que volverán a
descifrar los datos una vez que se haya recibido el pago.
Los perpetradores más endurecidos amenazan con eliminar los datos
de forma permanente si la víctima se comunica con la policía. En la
actualidad incluso existe un ransomware que elimina los archivos cifrados por
cada hora por la que no se realiza el pago. Y para evitar que el usuario
supere la amenaza apagando la PC, el software elimina mil archivos cuando se
reinicia el sistema.
¿Y
cómo ha cambiado la situación de amenaza desde entonces?
El primer troyano de cifrado distribuido a través de la
red fue TROJ_PGPCODER.A. Los chantajistas exigieron varios cientos de
dólares para descifrarlo. Eso fue en 2005. Desde 2011, los expertos en
seguridad han registrado un rápido aumento en los ataques de ransomware. La
Oficina Federal Alemana para la Seguridad de la Información (BSI) advirtió:
«Desde mediados de septiembre de 2015, la situación de amenaza del
ransomware se ha intensificado significativamente». Especialmente en
Alemania, los escáneres de virus se han encontrado cada vez más con ransomware
desde principios de 2016, agregó la BSI. Las soluciones de seguridad
encontraron más de 10 veces más ransomware en Alemania en febrero de 2016 en
comparación con octubre de 2015. Esta tendencia también se observa en el resto
del mundo; globalmente, el número de detecciones se ha multiplicado por 6
durante este período.
¿Cómo ganan exactamente los chantajistas con esto?
El aumento en la cantidad de archivos de ransomware que
circulan se debe al hecho de que ahora son muy fáciles de producir. Hay
los llamados kits de crimeware en Darknet que se pueden usar para armar malware
en un principio modular. También es muy fácil y económico programar
ransomware, o programarlo. Los delincuentes ponen un poco de dinero para
generarlo, pero pueden ganar mucho en el mejor de los casos. Los
perpetradores informan a las víctimas de las opciones de pago a través de la
pantalla de bloqueo. A los ciberdelincuentes se les paga a través de
tarjetas Paysafe o Ukash o con la moneda en línea Bitcoin. El rescate
ronda los 400 euros en muchos casos. Sin embargo, a veces se exigen varios
miles de euros para el descifrado. Depende de la importancia de los datos,
como en el caso del chantaje a los hospitales con Locky. Cuando la víctima
haya realizado el pago.
¿Cómo puedo protegerme?
Copias de seguridad : la mejor protección contra el ransomware es realizar copias de seguridad periódicas . Aquellos deben almacenarse en un medio separado del sistema. Si ejecuta una copia de seguridad en un disco duro externo, elimínela después de la copia de seguridad y asegúrese de que este medio de almacenamiento esté fuera de línea a menos que sea necesario. Con copias de seguridad periódicas, puede asegurarse de no perder ningún dato en caso de una infección de ransomware real y puede restaurar fácilmente su sistema. Al hacerlo, asegúrese de utilizar un medio seguro, como un CD, que no pueda infectarse también.
Sistema operativo : además de esto, se deben realizar actualizaciones periódicas de su sistema operativo. De esta forma puede cerrar los agujeros de seguridad. Lo mismo se aplica a su navegador y cualquier otro software instalado en su sistema.
Protección del navegador : la protección del navegador también es útil para protegerte de scripts peligrosos y de la descarga accidental de malware.
Protección de correo electrónico : los correos electrónicos falsos y fraudulentos se pueden proteger mientras aún están en su bandeja de entrada a través de un software de seguridad especial. De esa forma, esos correos electrónicos dejarán de ser un problema. El software antivirus también detecta malware, como troyanos, y lo elimina.
Ransomware-Cleaner : Existe una solución de software contra los bloqueadores de pantalla, que le ayuda a eliminar la pantalla de bloqueo y la amenaza por igual.
Cuenta de usuario : también se puede prevenir una infección si el usuario no inicia sesión con su cuenta de administrador en todo momento, sino que configura una cuenta de invitado. Como esta cuenta tiene menos derechos, el ransomware no puede penetrar tan profundamente en el sistema e, idealmente, no causará ningún daño.
¿Los perpetradores realmente
descifrarán mis datos si pago el rescate?
Siempre se recomienda precaución y escepticismo al tratar
con delincuentes. Muchos de los delincuentes no tienen interés en el juego
limpio desde el principio, y algunos ni siquiera han hecho planes para una
opción de descifrado. Para ellos, todo es cuestión de dinero. Cualquiera
que no haya realizado una copia de seguridad perderá inevitablemente sus
archivos después de que la computadora haya sido infectada con ransomware. Por
tanto, hay algo que aprender de las películas de acción: no negocie con los
chantajistas.
La Oficina Federal Alemana para la Seguridad de la Información
(BSI) desaconseja dar seguimiento a las demandas. Nadie debería esperar
ser tratado con justicia por los delincuentes. Además, cualquiera que
pague un rescate con tarjeta de crédito está convirtiendo su cuenta en una
tienda de autoservicio. Un chantajista también puede exigir repentinamente
más dinero para liberar los datos, o volver a cifrar los datos en una fecha
posterior a través de una puerta trasera en el sistema y exigir más dinero,
incluso si al principio parece que ha cumplido su promesa y ha publicado los
datos. Por lo tanto, pagar un rescate es un riesgo en múltiples niveles.
¿Qué debo tener en cuenta si quiero pagar el rescate?
Si desea pagar el rescate a pesar de todas las
advertencias, no debe eliminar ninguno de los componentes del ransomware de la
PC de antemano. Dependiendo de las circunstancias, estos pueden ser el
candado en el que debe colocar la llave que podría recibir después de realizar
el pago. Sin un candado, el código de descifrado podría quedar
inutilizable y sus datos permanecerán cifrados de forma irrecuperable. Además,
los componentes pueden ser importantes en el caso de que las autoridades de
investigación logren contraatacar a los ciberdelincuentes; a menudo hay
descifradores que pueden ayudar a los afectados a recuperar sus datos sin
realizar un pago. La información contenida en los componentes sería
necesaria para generar la clave de recuperación.
Si realmente recibió una clave y pudo descifrar sus archivos con
ella, debe eliminar inmediatamente el ransomware de su computadora. Sin
embargo, nunca debes perder de vista el hecho de que los delincuentes no se
sienten obligados contigo de ninguna manera y que puedes haber perdido dinero y
datos. También manténgase al día con las maquinaciones de los criminales. Porque
si nadie les paga, la distribución de ransomware ya no valdrá la pena para los
delincuentes.
¿Cómo elimino el ransomware?
Si se ha convertido en víctima de un ataque a pesar de sus mejores esfuerzos, solo una cosa le ayudará: eliminar el malware de su computadora. La forma más confiable y completa de eliminar el ransomware es restablecer el sistema a la configuración de fábrica. Antes de elegir esta opción, debe darse cuenta de que todos los archivos de la computadora se perderán irremediablemente después. Alternativamente, si ha realizado copias de seguridad regulares del sistema, puede restablecer su sistema a un punto en el tiempo antes de que ocurriera la infección. Seleccione el punto de restauración más reciente. Al hacerlo, siempre debe asegurarse de que este punto sea efectivamente anterior al momento de la infección. De esta manera, puede eliminar el malware de su computadora.
Troyanos de cifrado
Un troyano de cifrado
o un troyano criptográfico cifra los archivos en la computadora y requiere un
rescate para descifrarlos. Algunas familias de troyanos cifran solo
ciertos tipos de archivos, como imágenes, documentos o películas. Otros
cifran todos los tipos de archivos y solo conservan unas pocas
carpetas. Las familias populares son CryptoLocker (ya no está activo),
CryptoWall, CTB-Locker, Locky, TeslaCrypt y TorrentLocker. Una forma
bastante nueva es Petya. En lugar de cifrar archivos individuales, cifra
la tabla maestra de archivos (la tabla de contenido) del disco
duro. Después de lo cual, los archivos ya no se pueden encontrar en el
disco duro.
App-Locker
Este tipo de
ransomware chantajea a los usuarios impidiendo el acceso a aplicaciones y
programas. Por ejemplo, el navegador o el acceso a la gestión del
almacenamiento de red (NAS) está bloqueado. En algunos casos, se pueden
anular con herramientas estándar. Solo hay unas pocas familias de malware
de este tipo, un ejemplo es Synolocker. El nombre se deriva del hecho de
que la compañía de malware está apuntando a productos de Synology, un
fabricante de soluciones NAS.
Screenlocker
Un bloqueador de
pantalla bloquea el acceso a la computadora al mostrar una pantalla de bloqueo
que se mueve constantemente al primer plano y también puede terminar otros
procesos. Como resultado, la computadora ya no se puede operar. La
familia más conocida en esta categoría es Reveton, también conocida como
BKA-Trojans, GEZ-Trojans o FBI-Trojans.
Híbridos
También hay
ransomware que combina el bloqueo de pantalla y el cifrado. Esto hace que
la restauración de los datos lleve aún más tiempo. También aquí hay solo
unas pocas categorías, por ejemplo, Quimera.
¿Qué puede hacer el software contra el ransomware?
Detección
basada en firmas mediante un escáner de virus
Para las familias de ransomware ya
conocidas, la detección más sencilla y eficaz es mediante firma. Las
firmas reconocen en el código de un archivo las secuencias de comandos que son
responsables de las acciones maliciosas y son típicas de un grupo o familia de
malware en particular. Un signo inconfundible de la detección de
ransomware es la visualización de un nombre de firma como Trojan-Ransom y el
apellido como Win32.Trojan-Ransom.Petya.A. Actualmente distinguimos más de
120 familias de ransomware. Entre ellos nombres tan destacados como
Cryptowall, Locky, CTB-Locker y CryptXXX.
Las firmas no solo pueden reconocer
las acciones típicas de Ransomware. El malware a menudo se detecta mediante
secuencias de código universales que son típicas de la compresión, el cifrado,
las rutinas de descarga, las actividades de puerta trasera, los mecanismos de
camuflaje y mucho más. Las firmas heurísticas y genéricas reconocen tales
secuencias de comandos generalmente válidas incluso en familias previamente
desconocidas.
Tráfico de red
Muchas familias de ransomware solo se
activan cuando se comunican con su servidor de control y reciben comandos. Una
vez que se conocen los servidores de control, puede bloquear el acceso a ellos. Si
no se puede establecer la comunicación con el servidor de control, el
ransomware permanece inactivo. Además, la forma en que se establece la
conexión y la forma en que se transmiten los datos son típicos de Ransomware y
pueden detectarse y bloquearse.
Detección de comportamiento
La detección basada en el
comportamiento supervisa todas las aplicaciones en ejecución para detectar
actividades sospechosas. Si un programa malicioso ha logrado ingresar al
equipo, evita posibles daños. La detección está diseñada para detectar las
primeras acciones de malware. Varias familias de ransomware se propagan a
través de sitios web manipulados o banners dañinos. Utilizan agujeros de
seguridad (engl. Para explotar), con el fin de secuestrar las computadoras
cuando visitan el sitio web.
La forma en que ocurren estos ataques
muestra acciones típicas en el sistema que son detectadas por métodos
especiales de protección basados en el comportamiento. Si los indicadores individuales no son
suficientes, también se utilizan combinaciones y secuencias de diferentes áreas
para la evaluación.
Comportamiento de instalación
Cuando un ransomware ha infectado un
sistema, se llevan a cabo procesos característicos mediante los cuales se puede
detectar el malware. A menudo, la infección se produce sin una ventana
visible. En muchos casos, el sistema se examina en el primer paso antes de
cargar más software. Se crean archivos de configuración típicos y / o
entradas de registro, por nombrar solo algunos ejemplos.
Persistencia
Para volver a activarse después de
reiniciar la computadora, el Ransomware debe usar uno de los muchos mecanismos
de inicio automático. Este procedimiento sigue patrones típicos. Estos
pueden ser reconocidos por ciertas actividades del sistema y terminados. Se
considera muy sospechoso cuando muchos archivos individuales están cifrados. Si
se agregan más características, como un proceso desconocido o ninguna ventana
visible, la acción finaliza.
Ataques desde la Web
En muchos casos, el ransomware se
distribuye a través de sitios web u otros servicios de Internet. La nube
de URL de G DATA se actualiza constantemente con las URL actuales que se sabe
que generan malware. Si se sabe que un sitio es dañino, nuestro software
bloquea el acceso. Además, todos los datos que ingresan al navegador se
verifican en busca de malware, ya sean descargas de archivos o scripts activos
en el sitio web.
Protección contra el spam
Los correos electrónicos también se
utilizan a menudo para distribuir ransomware. Antes de que otros
mecanismos de protección, como la protección web y los escáneres de virus,
verifiquen el contenido del correo, el correo debe entregarse en el buzón. Nuestra
excelente protección contra correo no deseado con tecnología OutbreakShield
detecta correos electrónicos maliciosos a medida que se encuentran en tránsito,
en función de cómo se propagan. El correo electrónico con contenido dañino
a menudo no se entrega en absoluto o se elimina del buzón.
Foco en Ransomware en los sistemas de análisis de SecurityLabs
En G DATA SecurityLabs se analizan
diariamente muchos cientos de miles de archivos. Los procedimientos de
búsqueda en los sistemas de análisis automático están diseñados para
identificar tanto malware como sea posible. También podemos utilizar
métodos que normalmente los clientes no pueden utilizar porque, por ejemplo,
son demasiado intensivos en computación. Cuando los resultados son claros,
los mecanismos de protección como las URL y las listas negras de archivos en la
nube se actualizan automáticamente y se crean firmas para los escáneres de
virus.
Los analistas de malware evalúan las
muestras sospechosas que aún son dudosas. En estos procesos comunes hemos
incluido métodos de detección especiales con los que el ransomware se detecta
inmediatamente y luego se procesa con alta prioridad. Además, la
metodología Ransomware se analiza con especial intensidad. Estos análisis
son la base para las firmas heurísticas, para los filtros de URL de los nombres
de dominio generados recientemente o para la adición de reglas para la
detección basada en el comportamiento.