Imagina por un momento que todos los archivos que tienes en tu ordenador, en las carpetas compartidas con otros equipos de tu hogar o en el disco duro de red, el NAS, donde haces las copias de seguridad, desaparecen de la noche a la mañana. Reflexiona un momento para ver qué información has perdido. Esto es más o menos lo que ocurre si alguien secuestra nuestros datos cifrando los archivos con un virus.
Se trata de los conocidos como ramsonware, un malware de la familia de los ramson que cifra todos los archivos del disco duro, además de los que se encuentran en las carpetas de red compartidas. Para recuperar nuestros archivos, piden un rescate, que normalmente hay que pagar en forma de Bitcoins. Además, muchas veces se incluye un contador de temporal, de manera que nos indica cuánto tiempo nos queda para poder recuperar los archivos, ya que, pasado dicho periodo, será imposible recuperarlos.
Cómo funciona el cifrado de archivos de un ramsonware
La primera pregunta que muchos usuarios se hacen cuando sufren uno de estos problemas es: ¿cómo ha entrado el virus? Normalmente, estos utilizan técnicas de ingeniería social, engañando al usuario y enmascarando sus intenciones. Son conocidos el virus de la Policía o el virus de Correos, variantes de Crytolocker, uno de los más dañinos y populares. La Agencia Tributaria o cualquier otro remitente de confianza también pueden servir como mensajeros de los mails que nos llegan.
Es el usuario el que abre el archivo comprimido que contiene el mensaje y lo ejecuta, algo que en principio nunca debe hacerse. El ramsonware enmascara el tipo de archivo para que el usuario piense que se trata de un PDF. En este momento, si tenemos alguna sospecha de que algo no está funcionando como debe, lo mejor es desconectar el ordenador de la red y apagar el ordenador inmediatamente. Al menos así limitamos los daños que pueda causar sólo a un equipo informático.
El virus genera una clave simétrica aleatoria por cada fichero que va a cifrar y asegura el contenido con AES. A continuación, también cifra la clave aleatoria con un algoritmo asimétrico de clave pública-privada (RSA) con claves de que superan los 1.024 bits de longitud, por lo que es imposible descifrarla por fuerza bruta, y la añade al fichero cifrado. De esta forma, se asegura que solo el poseedor de la clave privada del RSA pueda conocer la clave aleatoria con la que se ha cifrado el fichero.
Si el usuario no paga en el periodo de tiempo establecido en el contador, entiende que no está dispuesto a colaborar y las claves se eliminarán de forma automática. De esta forma, no hay manera de recuperar los archivos. Claro que pagar tampoco es una garantía, ya que al fin y al cabo estamos en manos de un extorsionador profesional que ha secuestrado nuestros archivos. El pago a través de Bitcoin y en la Deep web les permiten quedarse con el dinero sin dejar rastros, de manera que esta tampoco es la solución.
¿Podemos recuperar nuestros archivos?
Existe una compilación de herramientas que tratan de facilitar la recuperación de los archivos. En todo caso, no existe tampoco una garantía de que podamos hacerlo, por lo que la única solución es intentar restaurar los archivos. Para ello, tenemos disponibles diferentes alternativas:
- Restaurar desde una copia de seguridad, que tiene que estar ubicada en una carpeta que no esté compartida en la red, ya que de otra forma se ha podido infectar. Si tenemos copias en un disco externo o en la nube, pero que no tengan sincronización, podremos recuperar los archivos. En este caso, en el entorno empresarial se suele llevar bastante al día, pero los usuarios domésticos son más descuidados en este aspecto.
- Activar el sistema de restauración de ficheros Shadow Copy de Windows, de esta forma podemos restaurar el archivo a una versión anterior al ataque del ramsonware. Esta opción no siempre funciona y es posible que no podamos recuperarlos.
- Utilizar alguna herramienta de descifrado que instalada en el equipo permita recuperar los archivos cifrados. Como hemos comentado anteriormente, por el tipo de claves de cifrado activadas, es posible que no funcione, aunque hay una posibilidad de que lo logremos.
Herramientas de prevención ante este tipo de ataques
Por lo que respecta a la prevención de este tipo de ataques, al utilizar la ingeniería social, es el propio usuario el que acaba abriendo la puerta a la instalación del virus, aunque sea de forma inconsciente. Existe alguna herramienta que revisa nuestro ordenador y nos avisa si encuentra que se está instalando algún virus de esta familia. De esta forma, nos permite minimizar los daños sufridos.
Las actualizaciones del sistema, navegadores y cualquier otro software que utilicemos, como Java, Flash, VLC, siempre son vulnerables y además incluyen un método de explotación en muchos casos conocido por los ciberatacantes. Además, siempre es recomendable no navegar utilizando un usuario administrador, lo ideal es tener dos perfiles: uno con usuario con privilegios limitados, que usaremos habitualmente; y otro con los permisos avanzados.
A la vez, una correcta configuración del control de cuentas de usuario y el uso de un buen antivirus no harán que nuestro sistema sea invulnerable, pero se lo pondrán mucho más difícil al malware para que ataque y se propague por nuestra red. No hay que olvidar que, al fin y al cabo, si el usuario se empeña o no lee los mensajes que aparecen en la pantalla y simplemente pulsa aceptar, no hay antivirus que pueda luchar contra ello.
En Anexo M | Crece el malware móvil: es hora de instalar sí o sí un antivirus
Imágenes | succo
Una conocida tuvo problemas con uno de estos virus, la suerte que tuvo fue que tenía una cuenta para ella y otra para los niños, el virus entró por la cuenta de los niños, se cargó los datos de esta cuenta y gran parte de los programas, pero los ficheros de usuario de ella prácticamente se salvaron todos. ¿pudo ser suerte o pudo ser por la configuración de las cuentas?