VIGILEU AMB RANSOMWARE, un desconegut capaç de segrestar els seus arxius i demanar-li diners pel rescat de les seves pròpies dades

Ransomware|Falso correo de Correos
Un ransomware (de l’anglès ransom rescat i ware, software) és un programa informàtic maliciós que restringeix l’accés, segons la variant, a tots els arxius, a algun tipus d’arxius o a tot el sistema operatiu; després demana un rescat a canvi de treure aquesta restricció.
Els donarem consells de com evitar infectar-se, els tipus de ransomware més extensos, com eliminar aquests malwares i en algunes variants, desencriptar els arxius perduts sense pagar res o recuperar-los mitjançant les còpies de seguretat prèvies.

És el malware més distribuït perquè aporta diner fàcil als seus creadors, i molts usuaris cauen a la trampa perquè és fàcil infectar-se. Està en plena expansió i, a part de Windows, hi ha variants per infectar smartphones o tablets amb Android i sortiran variants per iOS; inclús hi ha variants per infectar servidors Linux de pàgines web. El Ministeri de l’Interior també es va veure afectat per un ransomware.

Moltes pymes, i inclús grans empreses, són les principals víctimes perquè són més propenses a pagar el rescat, ja que si no recuperen els arxius ràpidament perden diners per no poder continuar treballant. Mai s’ha de pagar el rescat perquè ningú assegura que recuperi els arxius; amb això finança a aquests ciberdelinqüents perquè puguin continuar amb els seus actes maliciosos.

Com evitar infectar-se
  • No obrir ni executar arxius sospitosos; aquests malwares acostumen a arribar per correu electrònic amb un arxiu adjunt o un enllaç extern; a vegades imiten perfectament una companyia o administració coneguda (per exemple Correus o la Policia) i acostumen a utilitzar moltes tècniques perquè sembli un tema urgent, molt important o un fet greu. Als departaments de RRHH acostuma a arribar un currículum adjunt o ubicat a una carpeta de Dropbox d’un fals candidat a un lloc vacant. També estan ubicats en webs de tot tipus que han estat suplantades o atacades.
  • Tenir instal·lat un antivirus i que sempre estigui actualitzat. En molts casos evitarà infectar-se, d’altres cops evitarà que es perdin tots els arxius o eliminarà el virus després de xifrar els arxius. Inclús amb antivirus, hi ha variants que el bloquegen i després infecten tot l’ordinador.
  • Si és empresari, formar els treballadors perquè no caiguin en aquestes trampes. Tots podem infectar-nos però conèixer aquests perills tan greus pot evitar danys i pèrdues molt greus a la nostra empresa.
  • No divulgar la seva direcció de correu electrònic més del imprescindible. La via de correu electrònic és el principal focus d’infecció.
  • Descarregar i instal·lar software només des de fonts de total confiança.
Com prevenir la pèrdua d’arxius

Per prevenir la pèrdua d’arxius hem de fer còpies de seguretat periòdiques en varis discs durs i al núvol. Així ens assegurem que si ens infecten el dispositiu podem recuperar-ho tot. Tot i les còpies de seguretat, algunes variants també poden arribar a xifrar els discs durs externs.

Els ransomware més famosos
  • Cryptolocker: actualment el més famós que conté aquest tipus de ransomware és el fals email de Correus; també acostuma a arribar com un arxiu adjunt en un correu. Aquest tipus de ransomware xifra alguns tipus d’arxius i et deixa un límit de temps perquè paguis; si no pagues dins del límit de temps, t’indica que t’has de dirigir a una web i pagar una quantitat més alta per recuperar els arxius. Acostuma a trobar-se dins d’un arxiu comprimit en ZIP, ocult simulant ser un PDF aprofitant que per defecte Windows amaga les extensions dels arxius. Aquesta variant existeix des del 2013 i van sortint noves versions per no ser detectats pels antivirus.

Falso correo de Correos

  • Petya: acostuma a arribar via correu electrònic simulant ser un candidat que adjunta el seu currículum; aquest currículum esta ubicat en un enllaç a una carpeta de Dropbox (servei al núvol). Si s’executa totalment no deixa accedir al sistema operatiu i t’apareixen finestres d’alerta indicant que tens un termini de temps per pagar el rescat; passat aquest temps, la quantitat pel rescat es duplica.
  • Locky: aquest malware acostuma a arribar en un correu electrònic amb diferents temàtiques i idiomes, contenint un document del paquet Microsoft Office com adjunt (pot ser .doc, .docm o .xls); aquest document conté al seu interior una macro que, si l’habilitem, executarà el ransomware. Aquesta variant xifra els arxius del dispositiu infectat.
  • Surprise: aquest es únic per la forma com s’ha distribuït. Desde la plataforma de connexió remota TeamViewer un pirata informàtic va poder descarregar i executar manualment el ransomware (es desconeix com va poder fer-ho). Aquesta variant pot detectar 474 formats d’arxius diferents per xifrar-los, esborrar-los de forma segura i impedir la seva recuperació mitjançant les còpies de seguretat; quan ha acabat deixa tres arxius a l’escriptori amb les instruccions necessàries per recuperar-los. Com tots els casos, demana un pagament per recuperar els arxius.
  • Altres variants populars són Encrypted, TeslaCrypt 3.0, Reveton i Jigsaw, entre d’altres.

Encara que s’han anomenat algun tipus d’enginyeria social o trucs que s’acostumen a utilitzar per aconseguir infectar els dispositius, els ransomware poden arribar amagats en qualsevol forma, inclús dins de pàgines web de tot tipus.

Com desinfectar i recuperar els arxius sense pagar el rescat

És important que abans de desxifrar els arxius eliminem completament tots els virus i malwares del disc afectat. Un programa recomanable per fer-ho és el Malwarebytes Anti-Malware. Si no eliminem completament l’amenaça no servirà de res recuperar els arxius perquè es tornaran a xifrar.

Quan tinguem el dispositiu totalment net i segons la variant de ransomware, podrem recuperar tots els arxius segrestats sense haver de pagar als pirates informàtics. Només dues variants tenen un sistema de desxifrat (és quasi impossible dissenyar un desxifrador eficient perquè utilitzen un xifrat molt potent i la majoria de variants evolucionen per deixar obsolets els desxifradors). Mètodes per recuperar els arxius:

  • Petya: Dropbox ha eliminat els arxius infectats amb Petya. Les víctimes han de connectar el disc duro amb les dades xifrades a un sistema lliure d’infeccions. Després, es necessita obtenir l’eina PetyaExtractor, que extreu un certs valors des del disc duro afectat. Aquests valors s’han d’introduir al quadre de text que es troba la pàgina web de leostone. A continuació, un algoritme genera en un termini de 30 segons una contrasenya per aconseguir sobrepassar la pantalla de bloqueig de Petya. Després d’arrancar el disc compromès i d’introduir la clau, el desxifrado comença automàticament.

De moment per les altres variants no han trobat solució per recuperar els arxius. Només podem recuperar-los si tenim còpies de seguretat prèvies d’aquests arxius que no s’hagin infectat ni xifrat. Com hem dit anteriorment, mai hem de pagar el rescat perquè ningú ens assegura que recuperarem els fitxers.

El millor es evitar infectar-nos ja que aquests malwares són molt potents i perillosos i poden arribar a fer un mal irreparable. En alguns casos podem perdre informació molt valuosa. La majoria no tenen desxifrador; algunes variants van evolucionant amb el temps per evitar ser detectades pels antivirus i deixar obsolets els desxifradors creats.

NOVETAT 19/05/2016: a ESET han creat un desxifrador per TeslaCrypt perquè els creadors han publicat el codi per desxifrar-lo.

NOVETAT 01/06/2016: nou cas del Ransomware Locky.

Share on facebook
Share on twitter
Share on whatsapp
Share on linkedin

PROFESIONALES EN PROTECCIÓN DE DATOS

PROFESSIONALS EN PROTECCIÓ DE DADES