Hoy en día esta de moda escuchar en las noticias, blogs informáticos o sitios especializados en seguridad informática sobre el termino ransomware. En este post explicamos en que consiste esta amenaza, como puede afectarte y también de algunos consejos para poder prevenir ser victima de este tipo de ataques.
Como indica Wikipedia, un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.
Esta técnica tiene como finalidad extorsionar económicamente a los usuarios que navegan en Internet. El ransomware bloquea el acceso a la información de la computadora de la victima encriptando los archivos del disco duro y discos de almacenamiento externos conectados al momento del ataque.
Una vez consumado el ataque en tu equipo de computo aparecerá una leyenda o mensaje en el cual se te indica el proceso de liberación y el monto a pagar para que puedas recuperar tu información, en algunos casos los mensajes suplantan entidades de gobierno relacionadas con la vigilancia de información en Internet.
Algunos de los virus mas populares del tipo ransomware son “Cryptolocker”, “Cryptowall” y “TeslaCrypt” entre otros. Estos virus son una forma con la cual lo Hackers tratan de continuar recibiendo ingresos en la actualidad. La versión más antigua conocida de ransomware, llamado “Cryptolocker”; apareció por primera vez a finales del 2013, y fue tan impredecible para Internet que apenas tuvo tiempo suficiente para averiguar en qué consistía esta nueva amenaza.
Estos ataques no son exclusivos de las PC’s, también los dispositivos móviles pueden ser victimas tanto en sistemas Android como IOS. El ransomware móvil funciona de la misma manera, bloqueando el dispositivo en su totalidad, con sólo un mensaje que se visualiza exigiendo una suma que debe ser pagada dentro de una cierta cantidad de tiempo o la información del dispositivo se borrará. Los dispositivos móviles infectados por este tipo de virus han ido en aumento tal y como se muestra en la siguiente imagen.
Fuente: KSN Informe: ransomware móvil en 2014-2016
La eficacia del ransomware radica en el miedo que influye a la victima de perder su información (trabajos, documentos importantes, etc.) y obligarla a pagar la cantidad solicitada. También los distintos virus de este tipo han mejorado sus tácticas para obligar a los usuarios a pagar tan pronto como sea posible. Por ejemplo el virus “Jigsaw“ , en particular, amenaza con borrar un número cada vez mayor de archivos después de cada hora en la cual no se realice el pago. Los cibercriminales también han mejorado constantemente las tácticas de toma de rehenes de ransomware con el uso de tecnologías de cifrado cada vez más sofisticados. Actualmente existen muchos tipos de cifrado, como los que se muestran en el siguiente gráfico como resultado de investigaciones de malware que se han descubierto en los últimos 10 años.
Fuente de la imagen: CERT-RO
A continuación colocamos algunos puntos que puedes seguir para evitar ser victima de este tipo de ataques.
Realizar copias de seguridad de tu información constantemente, cifrada y de manera periódica, almacenándolas en otra ubicación física. Esto es esencial y puede ayudar no solo al ataque de ransomware, si no también a otro tipo de siniestros como incendios, inundaciones o robos. También se pueden realizar copias de seguridad del sistema operativo del equipo y en algunos casos restaurarlo en una fecha anterior puede ayudar a resolver el problema.
El ajuste predeterminado de Windows tiene las extensiones de archivos deshabilitados. Esto significa que tienes que confiar en la miniatura de archivos para identificarlo. Habilitar las extensiones hace que sea mucho más fácil de identificar los tipos de archivos que no son comúnmente enviados, como JavaScript.
La apertura de un archivo JavaScript en el Bloc de notas evita que se ejecute cualquier script malintencionado y le permite examinar el contenido del mismo. Los archivos de este tipo son un medio de propagación de los virus mencionados y pueden ser enviados por correo electrónico o al momento de que el usuario es redirigido a un sitio malicioso.
Los ladrones se basan en el dilema de que no se puede saber si el archivo es el que usted quiere hasta que lo abra. En caso de duda se lo saltan. Como se mencionó en el párrafo anterior, el envío de e-mails spam que contienen enlaces o archivos maliciosos, es uno de los medios de propagación del ransomware. También a través de los SMS’s que llegan a los dispositivos móviles con enlaces a sitios con descargas no autorizadas es un medio de propagación de estos virus.
Estos dos consejos están relacionados con el malware de manera general. Los autores de malware se basan con frecuencia en las personas que ejecutan software obsoleto con vulnerabilidades conocidas que pueden explotar para poder afectar su sistema. Se puede disminuir significativamente el potencial de ransomware si tienes la práctica de actualizar tu software a menudo. Algunos proveedores publican actualizaciones de seguridad de forma regular (Microsoft y Adobe, ambos utilizan el segundo martes de cada mes), pero a menudo hay actualizaciones programadas en caso de emergencia. Activar las actualizaciones automáticas es una buena practica, o ir directamente a la página web del proveedor de software para revisar las nuevas actualizaciones o parches a instalar.
Áreas funcionales separadas con un servidor de seguridad, por ejemplo, las redes de cliente y servidor, por lo que sólo se puedan acceder a los sistemas y servicios cuando sea realmente necesario.<7p>
Tus usuarios pueden ser el eslabón más débil si no se les entrena con la finalidad de evitar amenazas en documentos y correos electrónicos maliciosos.
Existen herramientas de seguridad informática que pueden ayudar a prevenir el malware como los ransomware, una de ellas es “SHOPOS Intercept X” que cuenta con CryptoGuard, ésta impide que se lleve acabo el cifrado malicioso de los archivos a causa del ransomware e incluso ayuda con aquellos archivos que ya han sido secuestrados. Una vez que se detecta el ransomware, CryptoGuard revierte los archivos de nuevo a su estado de seguridad.
Esta herramienta es del tipo “endpoint” junto con Intercept X proporciona un potente limpiador de virus. Mientras que la mayoría de los productos de limpieza de virus tradicionales simplemente eliminan los archivos de malware, El limpiador de virus de Sophos se esfuerza al máximo por la erradicación de las claves de códigos maliciosos y registro creadas por el malware . Será como si su máquina nunca se hubiera infectado.
En COINTIC contamos con especialistas que pueden ayudar a la implementación de este tipo de herramientas ya que somos distribuidores oficiales de SHOPOS en México.
Autores: Fernando Monroy Tenorio , Alejandro Cruz Arroyo.
Referencias bibliográficas:
https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/ransomware-101-what-it-is-and-how-it-works
http://www.digitaltrends.com/computing/what-is-ransomware-and-should-you-be-worried-about-it/#ixzz4YxvrvYnk
Síguenos: @digitaltrends en Twitter | DigitalTrends en Facebook
https://community.sophos.com/kb/en-us/120797
Puedes leer más artículos interesantes aquí