A principios de 2013 alertamos acerca de nuevas variantes de ransomware (programas que "secuestran" tus datos y después piden rescate). Estos programas han ido refinando sus estrategias y se han hecho muy efectivos. En estos momentos, una de las peores amenazas es Cryptolocker, programa que espía tus archivos y los encripta fuertemente, para después pedir una suma de dinero como rescate.
Este virus es distribuido en los paquetes conocidos como exploits kits, que se infiltran en las computadoras a través de vulnerabilidades de seguridad en sistemas no actualizados (o pirateados). La forma más común es usando ingeniería social, a través de mensajes de email que nos invitan a hacer clic en un vínculo o a ejecutar un determinado programa, pero también se propagan a través de sitios web maliciosos, o por medio de búsquedas engañosas (como aquellas que nos llevan a sitios warez cuando buscamos mp3´s o programas piratas). Este ransomware escanea todas las unidades de red local conectadas a tu equipo.
Cómo trabaja Cyberlocker
Después de infiltrarse Cryptolocker encripta los archivos con las siguientes extensiones: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, entre otros.
Claramente la amenaza mayor es para las empresas, pues aunque se atacan archivos comunes (fotos, documentos, música, videos), al analizar los tipos de archivo afectados podemos encontrar hojas de calculo, archivos de correo, gráficos generadas por computador, bases de datos y otros.
Desafortunadamente, una vez que el encriptado ha sido llevado a cabo, el desencriptado solo es posible teniendo ambas llaves de encripción (pública y privada), Si bien la llave pública es generada por la propia computadora víctima (y en teoría sería posible reconstruirla), la llave privada nunca deja los servidores de los criminales, dejandola fuera del alcance de cualquiera (excepto del secuestrador).
Al finalizar el encriptado aparece una pantalla como la siguiente, en la que se demanda una suma de USD$100, USD$300 o incluso EUR$300 para desbloquear la computadora y desencriptar los archivos. Los cibercriminales solicitan el pago a través de Ukash, cashU, MoneyPak o Bitcoin. Si el dinero no es pagado en el plazo señalado, la contraseña de desencriptado es eliminada de los servidores de Cryptolocker, haciendo imposible la recuperación de los archivos.
También amenazan con que "cualquier intento por remover o dañar este programa llevará a la inmediata destrucción de la llave privada en el servidor".
Que sucede si pago el "rescate"?
Realizar el pago es enviar dinero a cibercriminales, y no existe ninguna garantía de que los archivos serán desencriptados, aunque según algunos sitios web, se han conocido casos en los que efectivamente se han recuperado los datos después de realizar el pago. Por supuesto que aun después de realizado el pago, es posible la re-infección, por lo que recomendamos reformatear y reinstalar todo de nuevo desde cero.
Existe alguna otra forma de quitar el virus y recuperar mi información?
Remover el virus es relativamente sencillo y existen muchos tutoriales para ello en Internet. Sin embargo, a pesar de que prácticamente todos los fabricantes de antivirus están buscando una solución, hasta la fecha (Septiembre 2013), no existe forma de desencriptar los datos sin ambas llaves.
Que puedo hacer para prevenir la pérdida de mi información?
La única forma segura es mantener un respaldo físico o virtual, fuera de línea.
Si deseas recibir información acerca de las mejores prácticas de almacenamiento y respaldo de datos, visita http://almacenamiento.com.mx, desde donde podrás suscribirte a nuestro boletín mensual, con consejos, casos de estudio y las mejores prácticas para el respaldo seguro de información.
Este virus es distribuido en los paquetes conocidos como exploits kits, que se infiltran en las computadoras a través de vulnerabilidades de seguridad en sistemas no actualizados (o pirateados). La forma más común es usando ingeniería social, a través de mensajes de email que nos invitan a hacer clic en un vínculo o a ejecutar un determinado programa, pero también se propagan a través de sitios web maliciosos, o por medio de búsquedas engañosas (como aquellas que nos llevan a sitios warez cuando buscamos mp3´s o programas piratas). Este ransomware escanea todas las unidades de red local conectadas a tu equipo.
Cómo trabaja Cyberlocker
Después de infiltrarse Cryptolocker encripta los archivos con las siguientes extensiones: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, entre otros.
Claramente la amenaza mayor es para las empresas, pues aunque se atacan archivos comunes (fotos, documentos, música, videos), al analizar los tipos de archivo afectados podemos encontrar hojas de calculo, archivos de correo, gráficos generadas por computador, bases de datos y otros.
Desafortunadamente, una vez que el encriptado ha sido llevado a cabo, el desencriptado solo es posible teniendo ambas llaves de encripción (pública y privada), Si bien la llave pública es generada por la propia computadora víctima (y en teoría sería posible reconstruirla), la llave privada nunca deja los servidores de los criminales, dejandola fuera del alcance de cualquiera (excepto del secuestrador).
Al finalizar el encriptado aparece una pantalla como la siguiente, en la que se demanda una suma de USD$100, USD$300 o incluso EUR$300 para desbloquear la computadora y desencriptar los archivos. Los cibercriminales solicitan el pago a través de Ukash, cashU, MoneyPak o Bitcoin. Si el dinero no es pagado en el plazo señalado, la contraseña de desencriptado es eliminada de los servidores de Cryptolocker, haciendo imposible la recuperación de los archivos.
También amenazan con que "cualquier intento por remover o dañar este programa llevará a la inmediata destrucción de la llave privada en el servidor".
Que sucede si pago el "rescate"?
Realizar el pago es enviar dinero a cibercriminales, y no existe ninguna garantía de que los archivos serán desencriptados, aunque según algunos sitios web, se han conocido casos en los que efectivamente se han recuperado los datos después de realizar el pago. Por supuesto que aun después de realizado el pago, es posible la re-infección, por lo que recomendamos reformatear y reinstalar todo de nuevo desde cero.
Existe alguna otra forma de quitar el virus y recuperar mi información?
Remover el virus es relativamente sencillo y existen muchos tutoriales para ello en Internet. Sin embargo, a pesar de que prácticamente todos los fabricantes de antivirus están buscando una solución, hasta la fecha (Septiembre 2013), no existe forma de desencriptar los datos sin ambas llaves.
Que puedo hacer para prevenir la pérdida de mi información?
La única forma segura es mantener un respaldo físico o virtual, fuera de línea.
Si deseas recibir información acerca de las mejores prácticas de almacenamiento y respaldo de datos, visita http://almacenamiento.com.mx, desde donde podrás suscribirte a nuestro boletín mensual, con consejos, casos de estudio y las mejores prácticas para el respaldo seguro de información.