El ransomware y cómo solucionarlo
La palabra ransomware viene de “ransom” o sea el rescate que se pide a cambio de regresar la información y "ware", como abreviación de software, que en este caso es un tipo de software malicioso o malware.
Para entender este fenómeno hay que situarnos en el contexto que tienen los entornos digitales actualmente, descritos por varios fenómenos:
- Cada vez existen más usuarios de sistemas informáticos y estos se utilizan para procesar y almacenar información que tiene un valor crítico para las personas y organizaciones.
- Esta información al tener un valor para las personas y organizaciones es un motivante para un posible atacante que busque capitalizar el robo de la información.
- Para efectuar el robo de la información se requiere de recursos para sustraerla y almacenarla lo que significa la necesidad de inversión por parte del atacante.
- Con la popularización de técnicas de cifrado robusto, que es difícil de romper, para un atacante no es necesario extraer la información del equipo de la víctima, lo cual requeriría de mucho ancho de banda para extraer —por medio de internet— grandes cantidades de información, grandes cantidades de almacenamiento para depositar la información robada, igual uso de recursos para regresar la información en caso de pago del rescate, uso de tiempo para eliminar del equipo de la víctima de forma segura (ver artículo sobre borrado seguro), etcétera. Un atacante puede cifrar la información en el mismo equipo de la víctima, y al no ser recuperable, para fines prácticos es inaccesible para la víctima, como si se hubiera robado.
- La existencia de medios de pago que facilitan la anonimización de las transacciones, como Bitcoin y otras criptomonedas, hacen más difícil que se identifique y detenga a un atacante.
El ransomware tiene varias formas de instalarse en los equipos de las víctimas, en algunos casos llamado “contagio” o “infección” y al ser una de las formas más lucrativas y rápidas que tiene un atacante para monetizar su esfuerzo, podemos asumir que seguirán creciendo los métodos y estrategias de infección; desde ejecutar un archivo, habilitar las macros para ver un archivo de office con una supuesta factura pendiente de pago de CFE, scripts enviados para “optimizar” tu equipo, etcétera.
La forma más sencilla de evitar el ransomware es evitar instalar, ejecutar o abrir cualquier archivo o documento que no estemos seguros de dónde vino, o que esperamos recibir pero que no requiere instalar nada en nuestro equipo. Si hay algún documento que nos solicite instalar algo o hacer alguna modificación a nuestro sistema, es conveniente pensarlo dos veces y consultar con un especialista, pues lo más probable es que se trate de un engaño.
Aquí hay un par de guías del sitio Decent Security que pueden ayudarnos a configurar nuestros equipos con Windows de forma segura:
Otro elemento importante para contrarrestar el ransomware es contar con respaldos de nuestra información. En este caso es importante considerar que los respaldos en línea, por medio de herramientas en la nube como One Drive, Dropbox o Google Drive no son la mejor opción al respecto, ya que podrían sincronizarse con los archivos cifrados y por lo tanto perder la información. Por ello es recomendable utilizar respaldos en medios removibles, como un disco duro portátil, que podríamos dejar en nuestra casa u oficina y respaldar una vez a la semana. Esta temporalidad dependerá de qué tanto generemos nueva información y cuánto sea lo máximo que estamos dispuestos a perder. Si queremos evitar al máximo la pérdida habría que reducir este periodo.
Según un estudio de IBM (http://www-03.ibm.com/press/us/en/pressrelease/51230.wss) las empresas han estado más dispuestas a pagar por la recuperación de sus archivos que los particulares, posiblemente por contar con seguros y otras coberturas que amparen los gastos del rescate. Aunque cabe mencionar que hay algunos casos donde han pagado el rescate y aun así no se ha recuperado la información. La recomendación general es no pagar el rescate, pues hacerlo vuelve redituable para los criminales ese negocio, fomentando que sigan los ataques, además de que como ya mencionamos, no hay garantía de recuperar la información.
Algunas autoridades han logrado incautar los equipos de algunos de estos delincuentes y han hecho públicas las llaves de cifrado de distintas versiones de malware, así que esta es otra opción para recuperar la información, solo hay que identificar el nombre del ransomware que ha afectado el equipo y la versión, ya que hay casos en los que se han generado varias generaciones del mismo ransomware y que tienen algunas características distintas.
Para recuperar los archivos hay varios métodos que hay que probar. No existe una solución única pero aquí hay algunas sugerencias:
- Antes que nada, hay que eliminar el malware del equipo, tu antivirus actualizado podrá ayudarte con esto;
- Utilizar el respaldo más reciente, con ello podemos recuperar gran parte de la información, el resto habrá que evaluar cuánto tiempo nos tomará tratar de recuperarlo contra el tiempo que nos tomaría rehacerlos nuevamente;
- Revisar si existen publicadas llaves de cifrado por parte de las autoridades o investigadores, lo que hará posible descifrar los archivos utilizando la clave correspondiente;
- Existe ransomware que cifra el disco completo y no deja entrar al sistema operativo, pero la mayoría cifra los archivos de forma individual, por lo que si tenemos algún archivo respaldado que podamos comparar con el archivo cifrado, utilizando algunas herramientas como se muestra a continuación, así podremos obtener la llave de cifrado y recuperar los datos.
Varias organizaciones se han unido para crear el sitio https://www.nomoreransom.org/ en el que encontramos varias soluciones para contrarrestar un ransomware; a continuación, explicaré algunos de los métodos.
En la sección https://www.nomoreransom.org/crypto-sheriff.php podremos identificar el tipo de ransoware que nos atacó, esto se efectúa subiendo un par de archivos cifrados por el ransomware para que la herramienta los identifique. Este sitio también permite subir el texto que muestra el ransomware, copiándolo y pegándolo para con ello identificar el ataque.
Una vez identificado podremos utilizar las herramientas para descifrar que proporciona la página. Al momento de escribir este artículo (diciembre de 2016) están listados con soluciones conocidas los siguientes ransomware:
- CRYSIS MARSJOKE/POLYGLOT
- WILDFIRE
- CHIMERA
- TESLACRYPT
- SHADE
- COINVAULT
- RANNOH
- RAKHNI
En la liga https://www.nomoreransom.org/decryption-tools.html podremos encontrar varias herramientas generadas por distintos fabricantes como Kaspersky Lab e Intel. Cada una de ellas cuenta con una guía fácil de cómo ejecutar el proceso y nos lleva paso a paso para recuperar la información. Cada una de las herramientas funciona para un tipo de ransomware y sus variantes, así que es importante primero la identificación para elegir la herramienta correcta.
Aquí la lista completa de las herramientas disponibles y los tipos de ransomware que pueden descifrar:
Herramienta
|
Puede descifrar
|
Ligas de descarga
|
Guías para utilización
|
Rannoh Decryptor (updated 20-12-2016 with CryptXXX v3)
|
CryptXXX versions 1, 2 and 3.
Marsjoke aka
Polyglot;
Rannoh;
AutoIt;
Fury;
Crybola;
Cryakl;
|
DESCARGAR
Herramienta de Kaspersky Lab | |
WildFire Decryptor
|
Wildfire
|
DESCARGAR
Herramienta de Intel Security
DESCARGAR
Herramienta de
Kaspersky Lab
| |
Chimera Decryptor
|
Chimera
| DESCARGAR Herramienta de Kaspersky Lab | |
Teslacrypt Decryptor
|
TeslaCrypt v3 y v4
|
DESCARGAR
Herramienta de Kaspersky Lab | |
Shade Decryptor
|
Puede descifrar archivos con las siguientes extensiones:
.xtbl, .ytbl, .breaking_bad, .heisenberg.
|
DESCARGAR
Herramienta de Intel Security
DESCARGAR
Herramienta de Kaspersky Lab | |
CoinVault Decryptor
|
Coinvault
Bitcryptor.
|
DESCARGAR
Herramienta de Kaspersky Lab | |
Rakhni Decryptor (updated 14-11-2016)
|
Crysis;
Chimera;
Rakhni;
Agent.iih;
Aura;
Autoit;
Pletor;
Rotor;
Lamer;
Lortok;
Cryptokluchen;
Democry;
Bitman (TeslaCrypt)
version 3 y 4.
|
DESCARGAR
Herramienta de Kaspersky Lab | |
Jigsaw Decryptor
|
Jigsaw Ransomware
|
DESCARGAR
Herramienta de Check Point | |
Trend Micro Ransomware File Decryptor
|
CryptXXX V1, V2, V3*
CryptXXX V4, V5
Crysis
TeslaCrypt V1**
TeslaCrypt V2**
TeslaCrypt V3
TeslaCrypt V4
SNSLocker
AutoLocky
BadBlock
777
XORIST
XORBAT
CERBER V1
Stampado
Nemucod
Chimera
LECHIFFRE
MirCop
Jigsaw
Globe/Purge
DXXD
Teamxrat/Xpan
Crysis
DemoTool
|
DESCARGAR
Herramienta de Trend Micro | |
Emsisoft NMoreira Decryptor
|
NMoreira
|
DESCARGAR
Herramienta de Emsisoft | |
Emsisoft Ozozalocker Decryptor
|
Ozozalocker
|
DESCARGAR
Herramienta de Emsisoft | |
Emsisoft Globe Decryptor
|
Globe
|
DESCARGAR
Herramienta de Emsisoft | |
Emsisoft Globe2 Decryptor
|
Globe2
|
DESCARGAR
Herramienta de Emsisoft | |
Emsisoft FenixLocker Decryptor
|
FenixLocker
|
DESCARGAR
Herramienta de Emsisoft | |
Emsisoft Philadelphia Decryptor
|
Philadelphia
|
DESCARGAR
Herramienta de Emsisoft | |
Emsisoft Stampado Decryptor
|
Stampado
|
DESCARGAR
Herramienta de Emsisoft | |
Emsisoft Xorist Decryptor
|
Xorist
|
DESCARGAR
Herramienta de Emsisoft | |
Emsisoft Nemucod Decryptor
|
Nemucod
|
DESCARGAR
Herramienta de Emsisoft | |
Emsisoft Gomasom Decryptor
|
Gomasom
|
DESCARGAR
Herramienta de Emsisoft | |
Linux.Encoder Decryptor
|
Linux.Encoder.1
Linux.Encoder.3
|
DESCARGAR
Herramienta de BitDefender
DESCARGAR
Herramienta de BitDefender |
El ransomware evoluciona rápido. Recientemente se han visto ataques que ofrecen brindar las llaves de cifrado para recuperar la información a cambio de que infectes a conocidos. Para el siguiente año existen varias predicciones que prevén que habrá más formas de ransoware y que los ataques serán cada vez más sofisticados, algunos dirigidos a determinado perfil y con posibilidad de evolucionar de forma automática (http://mobile.itbusinessedge.com/blogs/data-security/expect-an-evolution-in-ransomware-in-2017.html).
Como en todo, la prevención es la mejor opción, por lo que contar con buenas prácticas para navegar en Internet, no utilizar software de dudosa procedencia, contar con un antivirus que pueda detectar los tipos de ransomware más conocidos y realizar respaldos frecuentes, son las mejores alternativas para evitar pérdidas de información.
Fuente: https://www.asociaciondeinternet.mx/es/noticiasx/2313-el-ransomware-y-como-solucionarlo
Comentarios
Publicar un comentario