Todo lo que necesitas saber sobre Ransomware

El panorama del malware en la actualidad es enorme, y esta creciendo mas y se están poniendo mas sofisticados cada día. En la actualidad, hay una categoría de malware que se esta volviendo cada vez mas popular llamado “ransomware”. En este post, vamos a discutir que es el ransomware, que estrategias y técnicas se utilizan en la creación y propagación de esta nueva modalidad de ciberdelito en Internet.

ransomware-expert-tips-featured

¿Que es Ransomware y hace realmente?

El Ransomware es una categoría de software malicioso que básicamente deja sin funcionamiento una computadora mediante la restricción de acceso a la misma utilizando diferentes técnicas. A continuación se le exige un rescate (“ransom”) a pagar al autor del malware para recuperar el funcionamiento del sistema. Esta aplicación maliciosa normalmente bloquea la computadora y muestra varias imágenes de fuerzas del orden para intimidar y extorsionar a las victimas. Ademas de bloquear la computadoras algunos ransomware encriptarán y ocultaran los archivos personales de manera que la victima no pueda acceder nunca mas a ellos.

Un poco de historia…

El ransomware no es una novedad. La primer aparición de un ransomware fue en 1989 con un malware conocido como “Cyber Troya PC” (también conocido como Aids Info Disk (AIDS)). El infame troyano reemplazaba el archivo autoexec.bat por uno propio en la computadora infectada que contaba las veces que la maquina había sido booteada. Una vez que la cuenta llegaba a 90 el troyano ocultaba todos los directorios y encriptaba todos los nombres de los archivos en el Disco C: haciendo que el sistema sea inutilizable. Para restaurar la funcionalidad del sistema el troyano exigía a la victima el pago de u$s 189 a nombre de “PC Cyborg Corporation” en una casilla de correo en Panamá. Aunque los ataques de ransomware no son nuevos empezaron a aumentar drasticamente desde 2005. Los ataques de ransomware fueron inicialmente populares en Rusia, pero en los últimos años están creciendo de manera drástica en todo el mundo.

Formas en que el ransomware infecta tu computadora (métodos de propagación)

El Ransomware puede infectar una computadora de la misma manera que lo hace la mayoría del malware. Alguna de las maneras mas comunes en que una maquina puede infectarse con ransomware son:

  • Clickjacking: Esta es la forma mas común en la que una computadora puede ser infectada con rasomware. Todo lo que se necesita es que la victima visite un sitio vulnerable o con contenido malicioso y hacer click en un anuncio o link malintencionado o abrir un archivo adjunto con el malware para que la maquina quede infectada.
  • Explotar una vulnerabilidad en un programa: Al igual que cualquier otro malware el ransomware puede explotar las vulnerabilidades de seguridad en el sistema operativo de su computadora o en un programa (como el navegador web) que esta instalado en su computadora.

Variantes mas populares de Ransomware (Métodos de Infección)

Como se ha mencionado anteriormente existen muchas variantes de Ransomware por ahí, pero se pueden clasificar en cuatro grandes categorías:

1 – SMS Ransomware: Esta variante de ransomware bloquea el equipo y muestra un mensaje con un código de rescate. Para desbloquear el equipo se le indica a la victima que debe enviar el código a través de un mensaje de texto a un numero de SMS premium para recibir el código de desbloqueo correspondiente.

La Figura 1 es un ejemplo de una pantalla de bloqueo (que dice ser de Microsoft) que muestra una de las variantes de SMS Ransomware. La pantalla instruye a las victimas a enviar un código (4121800286) a 3649 (que es un numero de SMS premium) con el fin de recibir el código de activación de Windows.

Fig 1: Ejemplo de SMS Ransomware

Fig 1: Ejemplo de SMS Ransomware

2 – Winlocker: Esta variante de Ransomware también bloquea la computadora, pero muestra un mensaje de rescate mas intimidante que pretende ser de alguna fuerza de seguridad (Policía, FBI, etc). A diferencia del SMS Ransomware, este tipo particular indica que el pago por el rescate se debe realizar por medio de un sistema de pago en linea, como Ukash, Paysafecard, o MoneyPak. Actualmente se esta utilizando mucho la modalidad de exigir el pago mediante Bitcoins y utilizando la red anónima TOR para la transacción.

La figura 2 es un ejemplo de una variante reciente de Winlocker. La pantalla de bloqueo indica que el FBI ha bloqueado la computadora del usuario por haber cometido algún tipo de ciberdelito. La pantalla también tiene instrucciones sobre como el usuario puede abonar la multa a través de un sistema de pago en linea. Este tipo malware es conocido mas comúnmente como “Virus del FBI” o “Virus MoneyPak”.

Fig. 2 Ejemplo de Winlocker Ransomware

Fig. 2 Ejemplo de Winlocker Ransomware

3 – File encryptors: Este tipo de ransomware puede cifrar los archivos y carpetas personales de la victima utilizando complejos algoritmos de cifrado para hacer que los datos de la computadora sean inutilizables. El autor del malware exige que se pague por la clave de descifrado para poder recuperar los archivos utilizando alguno de los pagos en linea mencionados anteriormente. El ransomware suele dejar un archivo (o una “nota de rescate”) en la computadora de la victima con las instrucciones de pago. Esta variante puede o no bloquear la pantalla de la maquina.

Fig. 3 Ejemplo de File Encryptor

Fig. 3 Ejemplo de File Encryptor

4 – MBR Ransomware: Esta es otra variante popular de ransomware, pero va un paso mas lejos que los otros tres tipos mencionados anteriormente en cuanto a la forma en la que el equipo es bloqueado. Esta variante puede cambiar el registro maestro de arranque de la computadora (MBR) e interrumpe el proceso de arranque normal. El MBR es una partición dentro del disco duro de la maquina que permite que el sistema operativo se cargue y arranque. Cuando este tipo de ransomware ataca, el mensaje de rescate se muestra tan pronto como la victima enciende la computadora, lo que significa que la victima no tendrá oportunidad de cargar el sistema operativo para eliminar la infección y reparar el sistema.

El MBR ransomware puede generar mucho pánico en la victima, pero este tipo de malware puede ser removido muy fácilmente. El mensaje de rescate dice a menudo que los archivos han sido cifrados, pero en realidad casi nunca es así.

Fig. 4 Ejemplo de MBR Ransomware

Fig. 4 Ejemplo de MBR Ransomware

¿Como funciona?

El Ransomware es un negocio criminal rentable, y su éxito radica en la forma en que funciona. Todo el esquema del ransonware funciona asustando a las victimas mediante la supuesta participación de las fuerzas de seguridad y amenazas de castigo y encarcelamiento. Para hacer parecer que el ataque es autentico, los cibercriminales utilizan logotipos de las fuerzas de seguridad y servicios de geolocalización para determinar la ubicación de la computadora utilizando servidores de comando y control (C&C). Los servidores de comando y control (C&C) son servidores centralizados utilizados por los cibercriminales para controlar las computadoras infectadas de forma remota mediante el envío de comandos y recibiendo datos de las computadoras. Cuando ciertos tipos de ransomware atacan a una victima se determina en que país se encuentra el equipo y se envía los datos al servidor C&C. El servidor responde enviando imágenes para bloquear la pantalla. Estas imágenes incluyen texto escrito en el idioma local y los logotipos de las fuerzas de seguridad locales.

Como proteger tu computadora contra el Ransomware

Las formas de proteger tu computadora de ransomware son similares a la forma de proteger tu ordenador de cualquier tipo de malware. Aquí hay algunas reglas a tener en cuenta para evitar ser victima del malware:

  • Siempre haga copias de seguridad: No importa si es ransomware o cualquier otra infección de malware, siempre existe la posibilidad de perder los datos. Realizar una copia de seguridad de los datos importantes es algo básico y mantener los archivos en un lugar seguro diferente a donde se encuentra la computadora para poder restaurarlos ante un evento de perdida de datos.
  • Piense antes de hacer click: No abra archivos adjuntos que no haya solicitado o que no estaba esperando o no haga click en enlaces de sitios web sospechosos. Si recibe un correo electrónico de una empresa que solicita que abra un archivo adjunto para recibir algún beneficio ignore el email ya que seguramente estén intentando que se infecte con malware.
  • Proteja su PC: Asegúrese de que su computadora esta protegida con un software de seguridad (anti-virus, anti-malware, etc)
  • Manténgase al día: Asegúrese que el software de seguridad, sistema operativo y otras aplicaciones estén actualizados al día. Ademas asegúrese de que las actualizaciones automáticas están activadas.
  • No pague: Si cree que has sido victima de un ataque de ransomware, no se asuste, y mas importante, no pague. Incluso si usted paga por el rescate, no hay ninguna garantía de que serán restauradas las funciones de su computadora y recuperara sus datos. En su lugar, pónganse en contacto con el área de ciberdelitos de la policía local.

Así mismo se recuerda que el ransomware o cualquier tipo de malware no se limitan solo a computadoras (PC) o Sistemas Windows. Siempre debe mantener todos sus dispositivos (smartphones, tablets, etc) protegidos y seguir las mismas reglas de seguridad.

Enlaces Relacionados

La siguiente tabla le permitirá consultar una gran cantidad de información relacionada con cada una de las diferentes versiones identificas a lo largo de este año a través de una gran labor de investigación que se está llevando a cabo por un grupo de analistas de malware; esto con el fin de que las personas estén familiarizadas con el tema y puedan (de ser posible) recuperar su información sin necesidad de realizar ningún tipo de pago.
Otro enlace que quiero compartir es la de la iniciativa “No More Ransom!”, donde se informa a los usuarios sobre los riesgos de este malware, y se dan consejos a las víctimas del ransomware sobre cómo se pueden recuperar los datos (sin pagar por ellos).

Leave a Reply

Your email address will not be published. Required fields are marked *
You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">