Los Ransomware vuelven al ataque

Un ransomware es un tipo de virus informático que, al infectar un ordenador, evita que el usuario de este pueda acceder a sus archivos y, a cambio de recuperar su control, pide un rescate. Vamos, que es como si te robaran tus fotos, vídeos, documentos, etc., y te pidieran que dejaras una maleta llena de dinero en un callejón oscuro si los quieres volver a ver con vida. ¿Te suena la historia?

 

Estos días estos virus vuelven al ataque. La última vez fue mediante un correo de Endesa donde te decían que tenías una factura pendiente de un importe desorbitado. Al intentar descargarla y abrirla, el virus empezaba a hacer su trabajo. Esta vez han sido más sutiles. Te llega un correo con asunto “la Factura“, diciendo que tienes una factura para descargar, sin especificar de qué o de quién, y un archivo comprimido en ZIP en una nube (habitualmente Dropbox) que contiene una hoja de cálculo Excel que parece inofensiva, la cual está infectada con la variante más famosa de los ransomware: el CryptoLocker.

¡OJO! Pueden haber variantes del archivo dentro del ZIP: documentos de Word, archivos .js… ¡DESCONFIAD EN CUALQUIER CASO!

Un ejemplo de correo electrónico malicioso sería el siguiente:

Asunto: la Factura
De: “Irene Sanz” <Sanz8892@aon.at>
Fecha: 27/02/2017 12:17
Para:

Hola

Información sobre la factura: https://dl.dropboxusercontent.com/s/xsywuziy10????/factura6.zip?dl=0

Saludos cordiales,
Irene Sanz

¿Que hace este virus exactamente?

Pues es bien fácil y muy complicado a la vez. Resumiendo: el virus encripta los archivos de tu ordenador para que no puedas acceder a ellos sin una clave que, obviamente, solo tienen los creadores del virus y que, supuestamente, si pagas te la dan para que puedas recuperarlo todo.

La encriptación se realiza con el sistema criptográfico RSA, un algoritmo creado en 1977 que “cierra” tus archivos en una caja, cuya llave solo tiene el emisor del encriptado, es decir, los malos. Los archivos afectados por el virus tienen añadida la extensión “.encrypted” (por ejemplo, “archivo.pdf.encrypted“) y no se pueden abrir. También verás en el interior de las carpetas infectadas unos archivos con instrucciones (DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html y DECRYPT_INSTRUCTION.url) de cómo debes proceder para recuperar tus archivos.

¡OJO! No se recomienda NUNCA pagar para recuperar los archivos, puesto que no hay garantías de que los recuperes y, además, ayudamos a que estos virus sigan proliferando por internet.

¡He sido infectado! ¿Qué hago?

Lo primero es respirar hondo y, por desgracia, empezar a asumir que podemos perder o todos o la gran mayoría de archivos infectados por el virus.

Primero, si tenemos activada la protección del sistema, podemos intentar restaurar Windows desde un punto anterior en el tiempo. Para ello, seguiremos los siguientes pasos:

  1. Mantén presionado o haz clic con el botón derecho el icono de Inicio y selecciona Panel de Control.
  2. Busca el icono de Recuperación y haz clic sobre él.
  3. Selecciona Recuperación → Abrir Restaurar sistema → Siguiente.
  4. Elige un Punto de Restauración anterior a la infección del virus y pulsa Siguiente → Finalizar.

Si no tenemos esta opción activada, podemos probar la opción de utilizar un software de recuperación de archivos borrados, ya que depende de la versión del virus, este crea una copia del archivo para encriptarlo y después la borra, dejando solo el archivo “encrypted“. Con este tipo de software podemos intentar recuperar los archivos que el propio ransomware ha borrado. Os recomendamos un par de programas de este tipo para ello: el DiskDigger y el Recuva. Tened en cuenta que el proceso puede llevar varias horas en completarse y puede que, al final, no podáis recuperar nada.

Finalmente, tenemos la opción de recurrir a la OSI (Oficina de Seguridad del Internauta), donde nos recomiendan acceder al Servicio Antiransomware creado por INCIBE (Instituto Nacional de Ciberseguridad). Para ello, debemos seguir los siguientes pasos:

  1. Contactar por medio de correo electrónico con el centro de respuesta a incidentes, incidencias@certsi.es, donde un grupo de expertos te ayudarán a mitigar los efectos del ransomware.
  2. Para ello hay que enviar dos o tres ficheros adjuntos con un tamaño superior a 1MB, preferiblemente aquellos que tuvieran extensión .doc o .xls antes de ser cifrados, aunque podría utilizarse otro tipo de archivos.
  3. Adjuntar también el fichero en el que se indica cómo realizar el pago para recuperar la información, normalmente es un fichero .txt o .html.

También recomiendan denunciar el caso a las autoridades competentes.

Como veis, de la noche a la mañana os podéis encontrar con un dolor de cabeza importante. Para evitar esto o cualquier otro problema con los virus, en ielectro.es creemos que lo mejor es una buena defensa.

PANDA INTERNET SECURITY

El Panda Internet Security te ofrece una licencia de 1 año para una máxima protección de todos tus dispositivos (PC, Mac y Android), que incluye protección específica contra los ransomware, así como numerosas funciones (copias de seguridad, control parental…) que te ayudarán a proteger tu ordenador de cualquier tipo de ataque.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s