MUCHO CUIDADO CON RANSOMWARE, un desconocido capaz de secuestrarle sus archivos y pedirle dinero por el rescate de sus propios datos

Un ransomware (del inglés ransom rescate y ware, software) es un programa informático malicioso que restringe el acceso, según la variante, a todos los archivos, a algún tipo de archivos o a todo el sistema operativo; luego piden un rescate a cambio de quitar esta restricción.

Les daremos consejos de cómo evitar infectarse, los tipos de ransomware más extendidos, como eliminar estos malwares y en algunas variantes, desencriptar los archivos sin pagar nada o recuperar los archivos perdidos mediante las copias de seguridad previas.

Es el malware más extendido porque aporta dinero fácil a sus creadores, y muchos usuarios caen en la trampa porque es fácil infectarse. Está en plena expansión y, aparte de Windows, ya hay variantes para infectar smartphones o tablets con Android y van a salir variantes para iOS; incluso hay variantes para infectar servidores Linux de páginas web. El Ministerio del Interior también se ha visto afectado por un ransomware.

Muchas pymes, e incluso grandes empresas, son las principales víctimas ya que son más propensas a pagar el rescate debido a que si no recuperan los archivos rápidamente pierden dinero por no poder seguir trabajando. Jamás debe pagar el rescate porque nadie asegura que recupere los archivos; con ello financia a estos ciberdelincuentes para que puedan seguir con sus actos maliciosos.

Cómo evitar infectarse

• No abrir ni ejecutar archivos sospechosos; estos malwares suelen llegar por correo electrónico con un archivo adjunto o un enlace externo; a veces imitan perfectamente una compañía o administración conocida (por ejemplo Correos o la Policía) y suelen usar muchas técnicas para que parezca algo urgente, muy importante o un hecho grave. En los departamentos de RRHH suelen llegar con un currículum adjunto o ubicado en una carpeta de Dropbox de un falso candidato a un puesto vacante. También están ubicados en webs de todo tipo que han sido suplantadas o atacadas.
• Tener instalado un antivirus y que siempre esté actualizado. En muchos casos evitará infectarse, otras veces evitará que se pierdan todos los archivos o eliminará el virus después de cifrar los archivos. Incluso con antivirus, hay variantes que lo bloquean y infectan totalmente el ordenador.
• Si es empresario formar a los trabajadores para que no caigan en estas trampas. Todos podemos infectarnos pero conocer estos peligros tan graves pueden evitar daños y pérdidas muy graves a nuestra empresa.
• No divulgar su dirección de correo electrónico más de lo imprescindible. La vía de correo electrónico es el principal foco de infección.
• Descargar e instalar software sólo desde fuentes de total confianza.

Cómo prevenir la pérdida de archivos

Para prevenir la pérdida de archivos debemos hacer copias de seguridad periódicas en varios discos duros y en la nube. Con ello nos aseguramos que si nos infectan el dispositivo podamos recuperarlo todo. Pese a las copias de seguridad, algunas variantes también pueden llegar a cifrar los discos duros externos.

Los ransomware más famosos

• Cryptolocker: actualmente el más famoso que contiene este tipo de ransomware es el falso email de Correos; también suele llegar como archivo adjunto en un correo. Este tipo de ransomware cifra ciertos tipos de archivos y te da un límite de tiempo para que pagues; si no pagas dentro del límite de tiempo, te indica que debes dirigirte a una web y pagar una cantidad más alta para recuperar los archivos. Suele encontrarse dentro de un archivo comprimido en ZIP, ocultándose simulando ser un PDF aprovechando que Windows por defecto oculta las extensiones de los archivos. Esta variante lleva existiendo des del 2013 y van sacando nuevas versiones para no ser detectados por los antivirus.

• Petya: suele llegar vía correo electrónico simulando ser un candidato que adjunta su currículum; dicho currículum se encuentra en un enlace a una carpeta de Dropbox (servicio en la nube). Si se ejecuta totalmente no deja acceder al sistema operativo y te aparecen ventanas de alerta indicando que tienes un plazo de tiempo para pagar el rescate; si dicho plazo vence, el monto del rescate se duplica.
• Locky: este malware suele llegar en un correo electrónico con diferentes temáticas e idiomas, el cual contiene un documento del paquete Microsoft Office como adjunto (puede ser .doc, .docm o .xls); dicho documento contiene en su interior una macro que, si la habilitamos, ejecutará el ransomware. Esta variante cifra los archivos del dispositivo infectado.
• Surprise: este es único por la forma en que ha sido distribuido. Des de la plataforma de conexión remota TeamViewer un pirata informático pudo descargar y ejecutar manualmente el ransomware (se desconoce cómo pudo hacerlo). Esta variante puede detectar 474 formatos de archivos diferentes para cifrarlos, borrarlos de forma segura e impedir su recuperación mediante las copias de seguridad; cuando ha terminado deja 3 archivos en el escritorio con las instrucciones necesarias para recuperarlos. Como en todos los casos piden un pago para recuperar los archivos.
• Otras variantes populares son Encrypted, TeslaCrypt 3.0, Reveton y Jigsaw, entre otros.

Aunque se ha nombrado algún tipo de ingeniería social o artimañas que suelen usarse para conseguir infectar los dispositivos, los ransomware pueden llegar escondidos de cualquier forma, incluso dentro de páginas webs de todo tipo.

Cómo desinfectarse y recuperar los archivos sin pagar el rescate

Es importante que antes de descifrar los archivos eliminemos completamente todos los virus y malwares del disco afectado. Un programa recomendable para ello es el Malwarebytes Anti-Malware. Si no eliminamos completamente la amenaza no servirá de nada desencriptar los archivos porque volverán a cifrarse.

Cuando tengamos el dispositivo totalmente limpio de amenazas y según la variante de ransomware, podremos recuperar todos los archivos secuestrados sin tener que pagar a los piratas informáticos. Solo dos variantes tienen un sistema de descifrado (es casi imposible diseñar un descifrador eficiente porque usan un cifrado muy potente y la mayoría de variantes evolucionan para dejar obsoletos los descifradores). Métodos para recuperar los archivos:

• Petya: Dropbox ha eliminado los archivos infectados con Petya. Las víctimas deben conectar el disco duro con los datos cifrados a un sistema libre de infecciones. Luego, se necesita obtener la herramienta PetyaExtractor, la cual extra ciertos valores desde el disco duro afectado. Estos valores deben introducirse en el cuadro de texto que se observa en la página web de leostone. A continuación, un algoritmo genera en un lapso de 30 segundos una contraseña para conseguir sobrepasar la pantalla de bloqueo de Petya. Después de arrancar el disco comprometido y de introducir la clave, el descifrado comienza automáticamente.

Por el momento en las otras variantes no se ha encontrado solución para recuperar los archivos. Solo podemos recuperarlos si tenemos copias de seguridad previas de dichos archivos que no se hayan infectado ni cifrado. Como hemos dicho anteriormente, nunca debemos pagar el rescate porque nadie nos asegura que recuperemos los ficheros.

Lo mejor es evitar infectarse ya que estos malwares son muy potentes y peligrosos y puede llegar a hacer un daño irreparable. En algunos casos podemos perder información muy valiosa. La mayoría no tienen descifrador; algunas variantes van evolucionando con el tiempo para evitar ser detectadas por los antivirus y dejar obsoletos los descifradores creados.

NOVEDAD 19/05/2016: en ESET han creado un descifrador para TeslaCrypt porque los creadores han publicado el código para descifrarlo.

NOVEDAD 01/06/2016: nuevo caso del Ransomware Locky.