Ataques Ransomware: qué son y cómo lidiar con ellos

Estos días se habla mucho de ransomware. Es sorprendente la poca cantidad de personas que saben lo que son y lo que ocurre si eres víctima de un ataque de este tipo.

Aquí tienes un resumen de las medidas que puedes adoptar para protegerte y de lo que puedes hacer si ocurre lo peor y eres víctima de un ataque de este tipo.

¿Qué es el Ransomware?

Ransomware es una categoría de malware que se usa para sacar dinero a sus víctimas mediante el pago de un rescate. La mayoría de los programas están diseñados para introducirse silenciosamente en tu sistema y cifrar tus archivos. Una vez que termina el cifrado es cuando se te presenta el temible aviso: paga el rescate o di adiós a tus archivos para siempre.

Ningún sistema de seguridad es infalible. El malware está un paso por delante. En caso de que te ocurra, aquí te mostramos algunas pautas para ayudarte.

Paso 1: Minizar el daño

En primer lugar tienes que aislar el sistema que se ha visto afectado, especialmente si está conectado a la red, para evitar que se infecten otros sistemas.

Si eres un administrador de la red y tus servidores están infectados, desconecta todos los cables de Ethernet.

No intentes hacer un backup copiando los archivos a un disco externo. Te podrá parecer una buena idea guardar los archivos que aún no estén cifrados, pero puedes propagar el malware. Cuando insertas un disco o unidad USB en el ordenador infectado, el malware se puede copiar a sí mismo y propagarse a la unidad recién insertada.

Cuando esa unidad se inserta en otro ordenador, el malware podría infectar a ese sistema también, o lo que sería peor: podrías volver a infectar tu propio sistema después de haberlo limpiado. Lo mejor es poner en cuarentena el equipo afectado.

Paso 2: Identificar el tipo de ransomware

Existen varios tipos de ransomware, algunos más peligrosos y difíciles de resolver que otros. Puedes utilizar diferentes estrategias para deshacerte de ellos dependiendo del tipo y características del ataque. Los tipos más comunes entran en una de las siguientes categorías:

  1. Scareware o falsos antivirus
    Scareware, también conocido como antivirus falsos, es una categoría de malware que engaña a los usuarios, haciéndoles creer que ocurre algo en su sistema y que necesitan comprar algún software para limpiarlo. Por supuesto, al equipo no le pasa nada, y casi siempre comprar dicho software es lo que sí que infecta el equipo.
    En la mayoría de los casos, el scareware muestra un mensaje emergente que informa de algún problema, tales como que se ha detectado un virus, que el sistema está ralentizado o que existen problemas en el registro, con un texto enorme y en negrita en el centro de la pantalla. También puede contener clickbait (enlaces cebo diseñados para despertar la curiosidad) que redirige al usuario a la página web del malware incluso cuando se cierra la ventana emergente. Aquí puedes ver uno:


    El scareware es probablemente el tipo de malware más fácil de solucionar de todos. Simplemente cierra tu pestaña del navegador y el popup desaparecerá. Si te aparecen ventanas emergentes en el sistema operativo puede que tengas que identificar el archivo ejecutable mediante el Administrador de Tareas o un explorador avanzado de procesos. Luego elimínalo o desinstálalo. Si sigues teniendo problemas, analiza tu equipo con un antivirus o con un programa anti malware.

  2. Ransomware de bloqueo de pantalla
    Este tipo de ransomware no te permite usar el ordenador hasta que pagues un rescate. En la mayoría de los casos aparece una ventana en pantalla completa que muestra un aviso. Puede fingir ser del FBI y tener que ver con descarga ilegal de contenido; otras veces el programa establece una imagen pornográfica como fondo de escritorio que no se puede cambiar, cuyo objetivo es avergonzar a la víctima y conseguir que pague dinero. Otros programas más avanzados monitorizan la actividad del usuario durante varios días y muestran un aviso personalizado más creíble e intimidante. Un ejemplo de este tipo:


    Si resultas infectado por uno de estos, intenta identificar el archivo ejecutable que lo causó. En la mayoría de los casos, simplemente presionar CTRL + ALT + SUPR te llevará al Administrador de tareas y podrás cerrar el programa.
    Incluso después de que elimines el ejecutable es buena idea realizar un análisis antivirus completo para eliminar cualquier resto. Si estas soluciones no funcionan, puede que necesites restaurar Windows y volver a un estado anterior, cuando el malware aún no estaba o estaba dormido.

  3. Ransomware que cifra archivos
    El último tipo y el más peligroso es el de los programas que cifran todos los archivos y los hace inútiles a menos que pagues un rescate a los chantajistas. Normalmente, estos se introducen en el sistema de la víctima y empiezan a cifrar todos los archivos silenciosamente, volviéndolos totalmente inutilizables.
    Una vez han terminado exigen un pago para descifrarlos. Hoy en día, estos atacantes tienen un método ideal de cobro: criptomonedas como Bitcoin, debido al anonimato que ofrecen. Esta es la imagen que vieron los usuarios atacados por Wannacry:


    También vale la pena saber cómo funciona el cifrado, lo cual te puede ayudar a obtener alguna pista sobre cómo descifrar tus archivos.
    La mayoría de los programas usan una combinación de cifrado simétrico y asimétrico (haz clic aquí para obtener más información acerca de los tipos de cifrado). El cifrado simétrico es útil porque permite al atacante cifrar archivos más rápidamente que el asimétrico. No obstante, el cifrado asimétrico implica que los atacantes sólo tienen que proteger una clave privada; en el caso del cifrado simétrico necesitarían guardar y proteger claves simétricas de cada una de las víctimas.

Los servidores command and control (C&C) suelen utilizarse para la comunicación de programas. El ransomware de cifrado utiliza cifrado simétrico y asimétrico a la vez para realizar un ataque del siguiente modo:

  • Se genera una clave privada-pública en el extremo del atacante utilizando cualquiera de los muchos algoritmos de cifrado disponibles, como RSA-256.
  • El atacante protege las claves privadas, mientras que las públicas están integradas en el programa ransomware.
  • El ransomware infecta a una nueva víctima. Manda su información junto con el identificador único del sistema o de la víctima al servidor C&C.
  • Mediante uno de los algoritmos de cifrado simétrico (por ej.: AES), el servidor genera y envía la clave simétrica específica para el sistema de esa víctima. La clave simétrica se cifra utilizando la clave privada.
  • El programa ransomware utiliza la clave pública integrada para descifrar la simétrica, tras lo que comienza a cifrar todos los archivos.

Ahora que sabes cómo funciona exactamente el ransomware, echaremos un vistazo a las opciones que tienes si tu sistema resulta infectado.

Paso 3: Decidir qué estrategia emplear

Hemos mostrado antes los métodos para eliminar los dos primeros tipos de ransomware con relativa facilidad.

Los programas que cifran archivos son más difíciles de eliminar. En primer lugar tendrás que identificar el tipo de malware en cuestión. La información de los programas más recientes puede ser escasa, ya que cada día se escribe malware nuevo, pero en la mayoría de los casos deberías poder identificarlo investigando un poco.

Intenta sacar capturas de pantalla de la nota de rescate y luego busca las imágenes mediante una búsqueda inversa para identificar el tipo exacto de ransomware. También puedes buscar las frases que aparecen en el texto del mensaje.

Decide si quieres pagar el rescate o no. Aunque no se recomienda pagar a los atacantes ya que ello fomenta que continúen su actividad, a veces tu información es demasiado importante como para perderla. Usa tu juicio y no pagues a menos que sea absolutamente necesario.

En el peor de los casos tienes que tener en cuenta que no existe garantía de que te devolverán los datos aunque pagues.

Paso 4: Manos a la obra

Si puedes identificar detalles del ransomware que infectó tu equipo, busca en Internet formas de eliminarlo. El código del malware siempre es ineficiente. El desarrollador puede haberse olvidado de borrar la clave de cifrado del programa que la recupera y descifra los archivos.

Si el ransomware es bastante conocido y tiene lagunas, deberías poder encontrar tutoriales y guías sobre cómo eliminarlo en webs como nomoreransom.org.

Debido a que muchos programas ransomware simplemente eliminan los archivos originales tras cifrar las copias del atacante, puede ser posible recuperarlos utilizando software de recuperación de datos. Cuando borras un archivo, este no se borra físicamente del disco a menos que sea sobrescrito por otro. Por consiguiente, debería ser posible recuperar los datos importantes utilizando software gratuito de recuperación de datos.

Si ninguno de estos programas tiene éxito, hay que tomar una decisión: paga el rescate o pierde tus datos. Por supuesto, aunque pagues, no está garantizado que los recuperes. Se trata de una cuestión de juicio ya que depende de la buena fe de los atacantes.

También puedes intentar negociar con los atacantes utilizando la dirección email que se muestra en la nota de rescate. Es sorprendente la frecuencia con la que suele funcionar.

Si decides no pagar el rescate, el siguiente paso es limpiar tu PC, pero perderás tus datos para siempre. Si tienes un backup en un disco externo, NO lo conectes a tu PC antes de formatearlo por completo.

La mejor manera de eliminar ransomware es formatear tu sistema operativo. Si no quieres hacer algo tan drástico, asegúrate de que el ransomware no infecta el sector de arranque; puedes encontrar información al respecto en Internet.

A continuación, actualiza tu antivirus y analiza tu sistema en profundidad. También es buena idea complementar el antivirus con un programa anti malware para tener protección completa, lo cual debería eliminar el ransomware por completo.

Paso 5: Averiguar cómo ocurrió

Ahora que ya te has deshecho de tu ransomware es el momento de averiguar por qué te atacaron. Como dijo un hombre sabio una vez: “más vale prevenir que curar” – y eso es más importante en cuanto a la seguridad en Internet que a cualquier otra cosa. Una defensa sólo puede ser tan fuerte como lo es el usuario, y con la debida protección implementada es difícil para cualquier malware poder atacarte.

Presta atención y ten en cuenta estos puntos:

  1. Mantén siempre tu antivirus actualizado.
  2. Comprueba siempre la URL de la web que vas a visitar.
  3. No ejecutes programas de fuentes poco fiables en tu sistema. Cracks, generadores de números de serie, parches, etc. son las fuentes más comunes de malware.
  4. No permitas a webs poco fiables ejecutar contenido en tu navegador (el malware puede introducirse mediante una técnica conocida como Java drive by).
  5. Mantén actualizado tu sistema operativo. El malware, incluyendo el ransomware, a menudo se propaga a través de vulnerabilidades de seguridad no parcheadas en sistemas operativos antiguos. Un hack, por poner un ejemplo, podría aprovechar un bug en el software RDP de Windows para conseguir acceso al sistema conectado a Internet y ejecutar malware.
¿Fue útil? ¡Compártelo!
Compartir en Facebook
0
Twitear esto
0
Compártelo si crees que Google no sabe suficiente sobre ti
0