Seguro que te sonará el concepto de Ransomware, un tipo de malware que, una vez infectado el sistema, es capaz de bloquear un dispositivo y chantajear a las víctimas para permitirles recuperar el control.
Cryptolocker es un tipo de Ransomware que cifra los archivos en sistemas Windows para, a continuación, solicitar un rescate a cambio de la clave de descifrado. Aunque su origen se remonta a 2006-2007, no tuvo su primera aparición hasta finales de 2013, y desde entonces, no ha dejado de evolucionar, infectando y encriptando numerosos equipos y servidores.
¿Cómo funciona Cryptolocker?
Al igual que todos los Ransomware, este tipo concreto de amenaza se extiende a través de correos fraudulentos o Phishing que tratan de engañar a los usuarios. Por norma general, los atacantes suplantaban la identidad de un remitente de confianza, algunos de los ejemplos más famosos son un email que simulaba ser la empresa de mensajería Correos, informando de un paquete que no había podido ser entregado.
Una vez que la víctima cae en la trampa, descarga y ejecuta el archivo malicioso que contiene el Cryptolocker, este selecciona una serie de ficheros en los discos duros del equipo y los cifra. Para ello, recurre a un sistema de RSA-2038 con una clave privada o cifrado asimétrico que, en condiciones normales, es una medida de protección sumamente útil, pero en este caso los atacantes recurrían a ella con intenciones ilícitas.
Una vez logrado este paso, los atacantes enviaban un email a las víctimas informando de su situación, y solicitando un rescate a cambio de poder recuperar el control de sus archivos.
¿Cómo podemos prevenir estas amenazas?
A diferencia de otros virus o malware, un ataque de Ransomware es ejecutado, de forma inconsciente o no, por los propios usuarios. Por esta razón, además de contar con medidas de protección automáticas, como los antivirus, es fundamental invertir en una correcta concienciación de los usuarios.
En el caso concreto de Cryptolocker, o de cualquier otro ransomware es fundamental seguir las siguientes recomendaciones:
1.- Asegúrate de hacer copias de tus archivos importantes periódicamente. Es muy recomendable crear dos copias de seguridad: una almacenada en la nube (utilizando Dropbox, Google Drive, etc.) y la otra físicamente (en un disco duro portátil, usb, otro portátil, etc). Una vez lista la copia de seguridad, hay que asegurarse de configurar ciertas restricciones a los archivos: tu dispositivo para el “plan B” solo debería tener permiso de lectura/escritura, sin la opción de modificar o eliminar los archivos. Tu copia de seguridad podría salvarte de varias situaciones, incluyendo la eliminación de archivos importantes por error o fallo del disco duro.
2.- Verifica periódicamente que tu copia de seguridad esté bien. Un fallo accidental podría implicar daños en tus archivos. Los cibercriminales suelen distribuir correos electrónicos falsos, imitando las notificaciones de tiendas online o bancos, invitando al usuario a hacer clic en enlaces maliciosos y distribuyendo malware. Este método es llamado phishing. Teniendo esto en mente, verifica tu configuración anti-spam y nunca abras documentos adjuntos enviados por remitentes desconocidos.
3.- No confíes en nadie. Los enlaces maliciosos pueden ser enviados por tus amigos en redes sociales, tu colega o tu compañero de videgojuego online, quien pudo haber sido comprometido de un modo u otro.
4.- Activa la opción de “mostrar extensiones de archivos” en la configuración de Windows. Esto hará más fácil distinguir los archivos potencialmente maliciosos.
5.- Ya que los Troyanos son programas, deberías prestar atención y mantenerte alejado de extensiones como “exe”, “vbs” y “scr”. Necesitas vigilar este tipo de archivos, ya que podrían ser peligrosos. Los estafadores podrían utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento (como hot-chics.avi.exe o report.doc.scr).
6.- Actualiza regularmente tu sistema operativo, navegador, antivirus, y otros programas. Los cibercriminales tienden a explotar vulnerabilidades para comprometer sistemas.
7.- Instala una solución de seguridad para proteger tu sistema del ransomware.
8.- Si descubres un proceso fraudulento o desconocido en tu dispositivo/PC, desconecta Internet inmediatamente. Si el ransomware no llega a eliminar la clave de cifrado de tu ordenador, existe la probabilidad de restaurar tus archivos. Sin embargo, las nuevas versiones de este tipo de malware utilizan una clave predefinida, por lo que en este caso, este consejo no funcionaría.
9.- Si tienes la mala suerte de tener tus archivos cifrados, no pagues el rescate, a menos que el acceso instantáneo a algún archivo sea de vital importancia. De hecho, cada pago alimenta este horrible negocio que seguirá avanzando mientras la gente siga pagando.
10.- Si has sido infectado por ransomware, deberías intentar encontrar el nombre del malware: tal vez sea una versión antigua y sea relativamente sencillo restaurar los archivos.
Y recuerda en cualquier caso, poner tu incidente en manos de profesionales. Por ejemplo, desde el CERT de INCIBE pueden darte un primer soporte: https://www.incibe-cert.es/respuesta-incidentes
