El “Virus Mortadelo” ahora secuestra nuestra información

 Ransomware illustration

      Si me preguntasen cuál ha sido la principal amenaza a la que nos hemos enfrentado a lo largo de los dos últimos años, la respuesta sería, sin lugar a duda, que el Ransomware, protagonista en muchas de las entradas de este blog.

      El ransomware, conocido como “Virus de la Policía” y bautizado en este blog como “Virus Mortadelo” por los diferentes disfraces que ha adoptado desde su aparición, ha sido protagonista indiscutible de las amenazas más persistentes a las que todos los internautas hemos estado expuestos.

    Nuestro “Virus Mortadelo” ha ido evolucionando, ha adoptado distintas “caras”, e incluso ha utilizado distintos “modus operandi” para llegar a nosotros.

     Cada una de sus variantes o “disfraces” han ido evolucionando y aumentando en “agresividad”.

      Como vimos en la entrada Un airbag contra el Ransomware: “Anti Ransom 1.0″ en la que explicábamos la herramienta “Anti Ransom”, creada por nuestro amigo Yago Jesús (@YJesus, editor de Security by Default ) y que nos avisaba cuando un programa comenzaba a cifrar nuestra información,  son muchas las mutaciones por las que ha pasado el “Ransomware”.

     Nos hemos encontrado variantes que bloquean nuestro ordenador, otras nos muestran un mensaje de un cuerpo policial en el que se nos notificaba la comisión de una actividad delictiva desde nuestro dispositivo, han llegado a utilizar incluso la imagen del Rey Juan Carlos.

.

.      Pero las más “destructivas” y peligrosas,  entre todas estas variantes, son las que cifran la información que contiene el ordenador víctima, dada la complejidad técnica de recuperación de la información una vez que el equipo ya ha sido infectado.

      Y es en este tipo de amenazas cryptolocker-previewdonde los ciberdelincuentes intentan mejorar para conseguir los mejores resultados, al menos para ellos, puesto que para las víctimas el resultado puede llegar a ser irreparablemente dañino. Y para ello los ciberdelincuentes han creado Cryptolocker.

¿Qué es Cryptolocker?

cryptolocker

      CryptoLocker es un programa malicioso (malware) que puede ser utilizado contra las distintas versiones del sistema operativo Windows y que cifrará cierta información de nuestro ordenador de forma que nos será imposible recuperarla salvo que accedamos a las pretensiones de los ciberdelincuentes que han conseguido infectar nuestro dispositivo.

     Cryptolocker_cifra Cuando el troyano se ha instalado en nuestro ordenador, y ha cumplido con su misión (cifrar nuestra información), nos mostrará una ventana que nos “guiará” para que podamos recuperar la información afectada, siempre tras el pago de un rescate en un tiempo que no será superior a los cuatro días, para forzar a que la víctima acceda a lo solicitado.

      En definitiva, el Cryptolocker es un peligroso malware que al igual que su “primo”, el Ransomware, ha sido “creado” por los ciberdelincuentes para conseguir los mismos fines que pretenden con nuestro viejo conocido “Virus de la Policía”, estafar a sus víctimas.

      Los ciberdelincuentes, como ya hemos visto, no cesan en mejorar sus técnicas, y para ello van mejorando sus técnicas. Según la empresa ESET, el Cryptolocker sigue evolucionando y ya existen versiones 2.0 del malware. (Leer artículo Cryptolocker 2.0 – ¿Nueva versión o copia? de Josep Albors

¿Cómo podemos infectarnos con Cryptolocker?

virus-chantaje-

      El “Virus de la Policía” llegaba a nosotros directamente a través de nuestra navegación en Internet. El ciberdelincuente “ponía” páginas web “llamativas” para el internauta en las que el simple acceso significaba infección para el visitante. También llegaron a comprometer páginas web legítimas pero vulnerables, instalando en ellas el virus que a su vez se instalaba en el ordenador del visitante víctima.

      mediosAdemás de estas formas de infección, utilizadas por el “Virus Mortadelo”, las versiones de Cryptolocker se instalan a “la vieja usanza”. Utilizan correos SPAM haciéndose pasar por cualquier institución u organismos, por ejemplo un banco. Estos correos basura pueden llevar adjuntos archivos, normalmente con doble extensión “archivomalo.exe.jpg” (por ejemplo). También son utilizados los mensajes en redes sociales, que a través de enlaces nos sugieren la descarga de un “programa milagroso” o simplemente el acceder a contenidos inéditos, que para su visionado necesitaremos instalar cualquier programa o plugin en nuestro ordenador.

      Una forma muy común de “camuflar” este virus, como cualquier otro, es enl programas que nos ofrecen “soluciones” para hacer gratuitas las versiones de programas de pago, activadores de contraseñas, cracks, keygens,  etc. Y sobre todo en programas descargados a través de redes P2P.

      En sus últimas versiones parece ser que Cryptolocker también tiene capacidad para transmitirse a través de dispositivos portátiles como pendrives o cualquier otro soporte USB.

¿Qué hace Cryptolocker con nuestra información?

      ransomware secruestroiUna vez que nuestro dispositivo es infectado, el virus cifra la información que tenemos almacenada, sin embargo no cifra todos los archivos que encuentra, solo lo hace con los archivos específicos que son relativos a los programas más utilizados y que son susceptibles de obtener información importante para el usuario. En definitiva, cifra archivos de texto, archivos  ofimáticos (Word, Excel, Access, etc.),  archivos de imagen, etc.

      Para ello, el virus, analiza nuestro equipo en búsqueda de ciertas extensiones de archivos, cifrando los archivos que encuentra y que coincidan con una lista de extensiones programadas en el propio virus (doc, jpg, xls, rar, etc.)

      Una vez que el malware ha finalizado la búsqueda de archivos, y una vez cifrados, nos muestra un mensaje en el que se nos solicitará el pago de un rescate, para recibir una “clave” que nos permitirá descifrarlos. Nos darán un tiempo máximo, pasado el cual el pago ya no será efectivo puesto que los ciberdelincuentes habrán borrado todo lo relativo a nuestro caso. Con ello fuerzan el pago inmediato si realmente queremos recuperar nuestra información.

La única copia de la clave privada, que le permitirá descifrar los archivos, que se encuentra en un servidor secreto en Internet, el servidor va a destruir la clave después de un tiempo especificado en esta ventana. Después de eso, nadie y nunca será capaz de restaurar los archivos.

 

¿Es posible descifrar los archivos afectados por Cryptolocker?

      cryptolocker-uses-encryption   Para poder descifrar los archivos afectados por el malware es necesario disponer de la clave de descifrado, y desafortunadamente, parece ser que en este momento no hay ninguna forma de recuperar la clave para descifrar los archivos sin tener que pagar el rescate.

.

      El único método posible para la recuperación de la información es haciendo uso de nuestras copias de seguridad, aunque con algunas versiones, en la menos, puede ser posible la recuperación mediante la restauración del sistema, en caso de tener esta opción habilitada.

      En caso de no tener copia de seguridad de nuestra información, o que no funcione la restauración del sistema, solo nos quedará una opción… la propuesta por los ciberdelincuentes, su objetivo será cumplido.

     ransom-money.jpgLa cantidad que deberemos pagar será diferente dependiendo de la “campaña” lanzada por los ciberdelincuentes, también puede llegar a cambiar dependiendo del valor que los propios ciberdelincuentes estimen que tiene la información cifrada para la víctima. En caso de ser información de una empresa puede alcanzar cantidades desorbitadas.      cryptolocker-virus-payment

       Para recuperar la información los “amables” ciberdelincuentes, que gestionan el virus, ponen a disposición de sus “clientes” páginas webs donde las víctimas, una vez realizado el pago, pueden obtener el código para descifrar su información

         En algunas ocasiones, el hecho de ceder al pago, no significaría recuperar nuestra información, en ocasiones nos veremos sin la información y sin el dinero que hemos pagado, con lo cual el rescate no garantizaría al 100% liberar nuestra información, o que la misma, una vez liberada, vuelva a ser cifrada.

¿Cómo podemos eliminar Cryptolocker de nuestro dispositivo?

     detectarSi hemos detectado el malware en nuestro dispositivo, y aunque hayamos podido recuperar la información haciendo uso de nuestras copias de seguridad, el Cryptolocker seguirá en nuestro ordenador, y deberemos eliminarlo. Si el “bichito” sigue viviendo en nuestro dispositivo volverá a cifrar nuestra información una y otra vez.

      Una buena forma de eliminar el “intruso” es seguir la guía que al efecto publicó la Oficina de Seguridad del Internauta (OSI) en su página web.

Criptolocker: virus que cifra los ficheros del ordenador

¿Cómo podemos evitar la “visita” de Cryptolocker?

      VIRUSSin duda el uso de un buen antivirus hará más difícil la infección, aunque por muy bueno que sea el antivirus no nos garantizará 100% nuestra seguridad. En casos como el que nos ocupa la infección llega gracias a la ayuda de la propia víctima que de forma inconsciente es quien suele instalar el virus en el ordenador siguiendo las indicaciones de los “amables” ciberdelincuentes…

Instala… Descarga… ejecuta…

Si…. Si… Si….

      Podemos utilizar herramientas como  “Anti Ransom 1.0″ que nos avisará en caso de que detecte este tipo de amenazas, aunque como el propio creador dice no es una solución es simplemente un capa más de seguridad para ponérselo un poquito más difícil al virus.

      Lo que no tenéis que olvidar nunca es que en Internet…

Nosotros somos nuestra mayor vulnerabilidad, pero también somos nuestro mejor antivirus.

SI TE GUSTA ESTE BLOG PUEDES VOTARLO EN LOS PREMIOS BITÁCORAS 2014 COMO MEJOR BLOG DE SEGURIDAD INFORMÁTICA

Votar en los Premios Bitacoras.com

      Nos vemos en la red…

X1RedMasSegura

FUENTES:

http://muyseguridad.net/2014/01/06/malware-cryptolocker-replica-usb/

http://losvirus.es/cryptolocker/

https://www.osi.es/es

http://blogs.protegerse.com/laboratorio/

 

email

Un pensamiento en “El “Virus Mortadelo” ahora secuestra nuestra información

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *