El ataque de los ransomware

Dic
17

El ataque de los ransomware

El mundo informático siempre ha sido una constante batalla entre el bien y el mal, entre la luz y la oscuridad. El bien siempre ha intentado manter a los crackers a los malwares a raya y las fuerzas del mal siempre han contraatacado con algo peor, imparable o difícil de eliminar.

Los Ransomware son un tipo de malware especial, diseñado con el objetivo más ruin y perverso que te puedas imaginar.

A diferencia de otros Malwares que solamente buscan robar tus datos o eliminarlos, los ransomware son inteligentes, manteniendo a tu sistema como rehén hasta que pagues una cuantiosa suma de dinero para recuperar el control. ¿Temible, no es así?

Ransomware image via PCWorld

¿Qué es un Ransomware?

Un Ransomware es un malware inteligente; inteligente porque a diferencia de otros malwares que sólo corrompen tu sistema, eliminan archivos o actúan como tú al robar ese pedazo de pastel que quedaba en la nevera. Los Ransomware bloquean tu sistema, archivos y aplicaciones y te exigen pagar un rescate si quieres que todo vuelva a la normalidad. Otros tipos de malwares como los virus o troyanos, solamente corrompen o roban tus datos, pero no proveen dinero al atacante, a menos que roben números de tarjeta de crédito, claro está.

Origen

Originalmente, estos programas fueron muy populares en Rusia, infectando miles de sistemas y esparciéndose como el fuego. Eran difíciles de detectar y se escondían como programas inofensivos que venían con la descargar de algún software gratuito descargado de Internet. La mayoría de ellos lograban acceder al sistema a través de archivos ya infectados, archivos adjuntos en emails o en malwares que ya estaban en el ordenador.

Una vez que estos malwares encuentran un huésped, comienzan a atacar, bloqueando el acceso del usuario a carpetas, archivos, ajustes del sistema o aplicaciones. Además se muestra un mensaje cada vez que éste intenta abrirlos que dice que su sistema ha sido bloqueado y que no podrá acceder a él hasta que pague cierta cantidad de dinero. Por lo general, también es posible contactar con el atacante que tiene el control de tu ordenador.

Tipos de Ransomware

Los Ransomwares pueden ser clasificados en dos tipos, encriptados y no encriptados.

  • Los Ransomwares encriptados son aquellos hacen precisamente éso; encriptar los archivos y ciertas partes del sistema, pidiéndole dinero al usuario. El encriptado suele estar usando un algoritmo bastante fuerte que un ordenador común tardaría miles de años en romper, así que el único método para recuperar tus datos es pagar y obtener la contraseña de desbloqueo. Este es el Ransomware que más daño hace.
  • Los no encriptados son aquellos que sencillamente bloquean el acceso a tus archivos mientras muestran mensajes continuamente. Este tipo de ransomware es menos peligroso que los escriptados, puesto que para eliminarlos, bastará con hacer una copia de seguridad de nuestros archivos e instalar de nuevo nuestra sistema operativo.

Ejemplos de ataques de Ransomware

Uno de los ataques masivos más recientes con ransomware fue en el año 2013 y fue conocido como  CryptoLocker. Por mero sentido común sabemos ya de antemano que el organizador de este malware fue un ruso. Se llamaba Evgeniy Bogache y tenemos que admitirlo, si es dañino y tiene que ver con un ordenador, es de los rusos. Cuando este malware era introducido en un sistema huésped, escaneaba el disco duro de la víctima, seleccionaba archivos con extensiones especificas y luego los encriptaba. Dichos archivos podían ser de vital importancia para el usuario como documentos, programas o contraseñas.

El encriptado se realizaba usando un sistema de pareja de claves RSA de 2048-bits. Se subía la contraseña privada para controlar todo. El programa amenazaba al usuario con que la clave privada no sería borrada si no se pagaban los bitcoins especificados en 3 días.

Una clave RSA es sin lugar a dudas una gran protección que por fuerza bruta que tardaría muchísimo tiempo en ser desencriptada. Este malware tan exitoso le trajo a nuestro malvado amigo ruso unos 3 millones de beneficios antes de ser eliminado. Sin embargo, otro Ransomware conocido como WinLock algo más directo recaudo 16 millones de dólares.

WinLock no encriptaba el sistema, sólo restringía el acceso de las aplicaciones y le mostraba al usuario imágenes pornográficas. Para solucionar ésto, el usuario tenía que enviar un mensaje de texto que costaba alrededor de 10$ para tener el código y desbloquear su equipo. Todos ésto ocurrió en el año 2013.

Sin embargo, el Ransonware más exitoso es el CryptoWall, que nos obliga a pagar 500$ para desbloquear nuestro sistema, aunque su precio ya ha sido duplicado. Este malware bloqueaba archivos realmente importantes para la víctima, como cuentas e impuestos. Este malware ha sido actualizado y a diferencia de otros que sencillamente mienten, proporciona la clave una vez se realiza el pago. En general, estas aplicaciones están en constante evolución. Un ejemplo fue uno aparecido en Julio del 2013 en que bloqueaba el navegador del usuario, acusándolo de descargar pornografía infantil.

FBI Ransomware

Algunos informes indican que el número de casos crece día a día y que la mayoría provienen de archivos enviados por email, por lo que debes tener mucho cuidado a la hora de revisar tu correo.

¿Por qué son los hackers de Ransomwares tan difíciles de atrapar?

La mayoría de ransonwares son generados en países post-soviéticos como Rusia.

Los atacante suelen pedir un pago, pero estos deben realizarse en bitcoins, una criptomoneda descentralizada casi imposible de rastrear. Además, los hackers del extranjera tienen cierta protección pues es muy difícil convencer a los gobiernos extranjeros para que tomen medidas contra ellos.

¿Cómo nos protegemos de los Ransonware?

Como dice el dicho, “es mejor prevenir que lamentar”. El mejor modo de protegerse es el de siempre, tener un antivirus o un anti-malware actualizado, tener cuidado a la hora de descargar programas y hacerlo siempre desde la web oficial. No hay ningún problema si utilizas un antivirus gratutito, aunque siempre tienen alguna limitación si no pagas por ellos.

También es importante tener un respaldo de los archivos importantes, ya sea en una unidad externa o en un servicio de almacenamiento cloud. Plataformas como Google Drive o Dropbox son muy útiles en estos casos.

¿Cómo eliminar un Ransomware?

Realmente no hay ningún modo de hacerlo, pero existe algo que más que para eliminarlos, sirven para prevenir ser infectado.

Por lo general la única manera de deshacerte de estos inventos era pagar o aceptar la pérdida de tus archivos. Sin embargo se han ido desarrollado programas que permiten encriptar nuestros disco duros.

También existe una página web que permite al usuario subir un archivo encriptado; el sistema lo desencriptará y enviará una clave privada con instrucciones de cómo eliminar el cryptolocker del sistema. El programa fue desarrollado por FireEyes y FoxIT y utiliza métodos de ingeniería inversa para romper el CryptoLocker, para todo lo encriptado puede ser desencriptado, aunque lleva su tiempo.

Acerca de EduZRO

Ingeniero técnico en informática, actualmente trabajo como desarrollador web y programador de videojuegos.

Escribe un comentario