¿Qué es el ransomware?
Ransomware es un tipo de malware (software malintencionado) que los criminales instalan en su PC sin su consentimiento. Ransomware les da a los criminales la capacidad de bloquear su equipo desde una ubicación remota. Luego presentará una ventana emergente con un aviso que dice que su ordenador está bloqueado y afirma que no podrá acceder al mismo a no ser que pague.
Cryptolocker, perteneciente a la familia de los ransomware, ha vuelto y esta vez a través de un disfraz nuevo, un mail de Correos pidiéndote que pinches en un enlace para imprimir la información de un supuesto envío que no pudo ser entregado.
En este post enseño como se proteger y las posibles soluciones a esta peligrosa amenaza (aún sabiendo que recuperar los archivos es tarea muy complicada debido a su encriptación RSA 2048)
¿Que hace exactamente el Cryptolocker?
Cryptolocker secuestra nuestros documentos y imagenes renombrando los archivos añadindo al final de los mismos una extencíon ".ecc" y encriptando/cifrando con una clave secreta... Cuando se ejecuta, Cryptolocker se instala en la carpeta de programas y empieza a cifrar (encriptar) documentos de Office y LibreOffice, archivos PDF, fotos e ilustraciones, que se vuelven inaccesibles. Los archivos se cifran con una clave que solo poseen los autores de Cryptolocker, lo que imposibilita la recuperación.
Ejemplo de nombre de archivos cifrados por Cryptolocker:
- \mi_archivo.jpg.ecc
- \mi_archivo.doc.ecc
- \mi_archivo.xls.ecc
- \mi_archivo.mdb.ecc
Los archivos infectados por Cryptolocker se vuelven ilegibles debido al cifrado.
Al mismo tiempo, CryptoLocker lanza su terrible amenaza: Si el propietario no paga una suma de dinero en el plazo de tres o cuatro días, la clave con la que se bloquearon los archivos será borrada para siempre, y los archivos ya no se podrán rescatar. Es como encerrar a alguien en una celda indestructible y tirar la llave.
Los archivos no se pueden rescatar sin pagar
Si el pobre usuario accede a pagar la suma de dinero, que puede alcanzar los trescientos dólares, Cryptolocker descifra los archivos, aunque no siempre obedece. El pago se puede efectuar a través de MoneyPak, Ukash y -novedad- a través de Bitcoin, una moneda virtual cuyas transacciones se efectúan sin controles.
Las formas de pago que acepta el virus Cryptolocker dificultan la identificación de los autores
Todo intento de pago erróneo disminuye el tiempo disponible para salvar los archivos. Para “ayudar” a los afectados, los autores del virus incluso han puesto una dirección de “soporte técnico” en el fondo de pantalla que Cryptolocker activa en el PC infectado. Esa dirección contiene la versión web de la herramienta de descifrado.
El sistema ideado por los criminales es perfecto: si el usuario no paga, los archivos no se pueden recuperar. El cifrado utilizado es demasiado fuerte, e incluso un ataque criptográfico sofisticado tardaría un tiempo larguísimo para descifrar uno cualquiera de los archivos atrapados.
Por eso, si alguien no tiene una copia de seguridad, acaba por pagar a los malhechores. Yo te recomiendo no pagar.
¿Cómo instalan los criminales ransomware?* Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker
Ransomware normalmente se instala cuando abre un adjunto malintencionado en un correo electrónico o cuando hace clic en un enlace malintencionado en un mensaje de correo electrónico, mensaje instantáneo, sitio de medios sociales u otro sitio web. Ransomware se puede incluso instalar cuando visita un sitio web malintencionado.
¿Cómo evito el ransomware?
Existen numerosas formas gratuitas de proteger su PC del ransomware y otro tipo de malware malintencionado:
* Asegúrese de tener todo el software de su PC actualizado. Asegúrese de que las actualizaciones automáticas estén activadas para recibir las actualizaciones de seguridad de Microsoft más recientes.
* Mantenga activado el firewall de su equipo.
* No abra mensajes de correo electrónico no deseado ni haga clic en vínculos de sitios web sospechosos.
* Descargue/Instale un antivirus de buena reputación (e.j. Avira, Kaspersky, ESET, Avast!, AGV, Microsoft Security Essentials y etc...).
* Descargue/Instale un anti-malware de buena reputacíon (e.j. SuperAntiSpyware, Malwarebytes, Spybot - Search & Destroy y etc...).
* Examine su equipo periodicamente.
¿Qué debo hacer si tengo ransomware en mi PC?
Para detectar y eliminar ransomware y otros tipos de software malintencionado que se puedan instalar en su PC, escanee por completo el sistema con una solución de seguridad apropiada y actualizada. Para detectar y eliminar esta amenaza, iniciar el windows en modo seguro con funciones de red (F8), y luego usar los anti-virus y anti-malwares que menciono arriba, y para intentar recuperar los archivos cifrados "sequestrados por este ransomware", utilize las herramientas que vos enseño mas abajo!
decrypt_cryptodefense.zip (600 Kb)
Enlaces:
Anti-Ransom: http://www.security-projects.com/?Anti_Ransom
Web para desencriptar los archivos afectados: https://www.decryptcryptolocker.com/
Un potente anti-troyanos que Symantec distribuye gratis en su página para poder eliminar estes ransomware: Norton Power Eraser
Cómo derrotar a Cryptolocker, el virus que secuestra tus documentos: http://articulos.softonic.com/cryptolocker-el-virus-que-secuestra-tus-documentos
