Ransomware: no pagues el rescate

Aunque existe desde hace mucho, ha sido en el último año cuando un virus ha acaparado toda nuestra atención, los medios de comunicación se han hecho eco de él, tanto en prensa escrita como en los telediarios, es el llamado virus de la policía. Es capaz de adaptarse a cada país, en Francia ha sido la gendarmería, en Reino Unido Scotland Yard, incluso existen versiones de la SGAE española. Pero lo que todos tienen en común es una “familia” de virus llamada ransomware.

No es raro encontrar afirmaciones de que el virus de la policía no es detectado por el antivirus, pero lo cierto es que este tipo de malware tiene una gran similitud al de la doble tilde, existen tantas variedades de ransomware que podríamos incluso crear una sola familia para ellos. Nuestro antivirus podrá detectar la mayoría de ellos, pero si aparece una variante nueva, tal vez se podría escapar.

Los hay desde los que simplemente no nos dejan abrir un navegador de internet, hasta los que secuestran nuestros datos y no nos dejan acceder a la sesión del usuario.

Por lo general siempre afectan a un perfil de usuario, por lo que si iniciamos con uno diferente, podremos iniciar sesión sin problemas y enfrentarnos a él, aunque también existen variedades que no nos permiten ni iniciar sesión en modo seguro.

Como veis es tal la variedad que tenemos de este virus que podría considerarse una familia exclusiva, y que además sigue variando y añadiendo nuevas variedades que no serán detectadas hasta que alguien envíe las primeras muestras a los laboratorios.

Cómo enfrentarse a él

Lo primero de todo y siguiendo los consejos del articulo de seguridad activa y pasiva trataremos de tener siempre al menos dos usuarios con los cuales iniciar sesión, de manera que si un perfil se infecta tendremos el otro disponible para enfrentarnos a ransomware.

Sí ya hemos sido infectados lo mejor es seguir el siguiente video donde nos explica qué hacer

Si el ransomware ha llegado a cifrar nuestros archivos, debes buscar las copias de seguridad, ya que la única solución es restaurarlas, en el pasado existieron herramientas que eran capaces de descifrar los ficheros, pero con la evolución de este tipo de malware, se cambió el cifrado inicial, relativamente sencillo, por uno de AES cada día más complejos, que son imposibles de descifrar con ninguna herramienta

Por supuesto, lo primero que hay que hacer es ignorar las amenazas, nadie nos va a enviar a la policía a casa si no pagamos 100€, y por supuesto, no nos van a descifrar nuestra información si ya nos la han secuestrado

Cómo funciona

Este tipo de virus, cada vez se expanden más simplemente por una razón: funcionan, recuerdo una llamada en soporte de alguien que decía que ya había pagado los 100 euros y aún no podía entrar en la máquina para recuperar sus archivos… evidentemente mi sorpresa fue supina, porque no pensaba que la gente picara en esas cosas, pero lo hacen, de hecho, si por cada uno se ganan 100 euros y pican 1000 en todo el mundo son 100.000€ teniendo en cuenta que somos 7000 millones de habitantes en el planeta… seguramente las ganancias que obtengan con este tipo de virus sea bastante más elevada de lo que nosotros creamos.

Para conseguir que paguemos utilizan técnicas de ingeniería social para intimidarnos como que nos ha pillado la policía, pero como esa parte cada vez es menos efectiva ya que la gente va aprendiendo y ya no se cree las amenazas, así que han pasado a la acción, directamente nos secuestran los datos,

Ciertas variedades, utilizan una lista con unas 110 extensiones (jpg, doc, pdf…), las cifran y les cambian de nombre a la extensión .BLOCKAGE o incluso les cambian completamente de nombre según algún patrón, por ejemplo locked-<original filename>.<random 4 character extension> añadiendo el siguiente mensaje para el usuario:

“All your personal files (photo, documents, databases) have been encrypted by a very strong cipher.

You can check this by yourself – just look for files in all folders.

There is no possibility to decrypt these files without a special decrypt program.

Nobody can help you – even don’t try to find another method or tell anybody.

We can help you to solve this task: send your request on this e-mail: blockage@tormail.org

Attach to message a full serial key shown below in this (‘HOW TO DECRYPT FILES.TXT’) file on desktop.

And remember: any harmful or bad words to our side will be a reason for ingoring your message and nothing will be done.

Only we can decrypt your files!”

Además de que nuestros datos están siendo cifrados, el malware también se conecta a su central y transmite una copia de la clave a uno de sus servidores de control. Lo peor aquí es que no mienten cuando dicen que solo ellos pueden descifrar tus archivos, de hecho, el malware utiliza los mismos métodos de cifrado que los que utilizan las tiendas o banca online, ( cifrado asimétrico) para comprar de una manera segura.

Cada vez que este malware infecta una máquina genera una clave aleatoria única (AES 256), que se utiliza para cifrar tus archivos utilizando su clave pública. El resultado de esto es la cadena de caracteres que se muestra al usuario. Desafortunadamente esto significa que únicamente alguien con la clave privada podrá descifrarlo.

Sin embargo, mientras que el cifrado utilizado para secuestrar nuestros archivos es muy sofisticado, análisis posteriores del malware nos indican que no lo es tanto. Algunas muestras que han llegado a Sophos, indican que son trabajo de autores amateur.

La mayoría del código no está empaquetado o protegido de ninguna manera como se esperaría de un malware sofisticado, además se pueden observar cadenas de caracteres sin ninguna utilidad, por ejemplo, la cadena “Graciliraptor!” que se ve en algunas muestras, lo cual debe ser la firma del autor del malware, y gracias a ello hace más sencilla la detección de estas muestras.

Lo preocupante de este tipo de malware es que aunque sea creado por aficionados, pueden utilizar librerías ya existentes como Microsoft Cryptographic API o similar, lo cual hace que el resultado sea mucho más efectivo.

La mejor solución a este problema es la prevención, teniendo nuestro antivirus actualizado y sacando copias de seguridad regularmente. Pero si ya hemos sido infectados por una variante no detectada, entonces debemos enviar muestras a los laboratorios de cualquier archivo sospechoso, para que las analicen y saquen las firmas que lo detecten.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestra newsletter en tu correo electrónico, suscríbete en la siguiente aplicación: