Virus Ransomware: la amenaza cibérnetica actual

| | 0 Comments

Escrito por César Barrios Santamaría

Hace unos días, el planeta se alarmó por el lanzamiento de un ataque cibernético a gran escala, afectando hasta ahora a 150 países, contaminando alrededor de 300 mil computadoras y dañando sistemas tan importantes como centros de salud, bancos y redes ferroviarias en países como Rusia, por citar algunos.
Pero dentro de tanta publicidad y difusión de los daños y el ataque, se debe conocer al enemigo muy bien para estar protegido, asi que vamos a lo primero:

¿Que es un virus de tipo “RansomWare”?

Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate en la moneda virtual conocida como BitCoin.
En palabras mas sencillas, se puede decir que sus archivos quedan secuestrados, Ud. puede encender y arrancar su equipo, pero al tratar de acceder a sus programas, archivos, etc., el sistema enviará un mensaje con este enunciado:
“Ooops… your files has been encrypted, write to email@dominio to pay for decrypt”.
“Ooops… sus archivos han sido encriptados, escriba a mail@dominio para gestionar su pago por desencriptar”.

¿A quienes ataca?

Hasta ahora ataca a sistemas Windows, se conoce que ataca a la versiones Windows 2003 en adelante.

¿Como se propaga?

  • Mediante dispositivos de almacenamiento portátiles como USB.
  • Mediante correos no solicitados, contentivos de archivos como documentos word, excel, pdf los cuales llevan insertados macros que se autoejecutan, esparciendo el codigo maliciso a través de las redes e infectando los equipos de computo vulnerables a esta amenaza.
Normalmente un ransomware se transmite tanto como un troyano como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se iniciará y cifrará los archivos del usuario con una determinada clave, que sólo el creador del ransomware conoce y proveerá al usuario que la reclame a cambio de un pago.

¿Como actúa?

Este tipo de virus se camufla dentro de otro archivo o programa apetecible para el usuario que invite a hacer click. Algunos ejemplos de estos camuflajes serían:
  • Archivos adjuntos en correos electrónicos.
  • Vídeos de páginas de dudoso origen.
  • Actualizaciones de sistemas.
  • Programas, en principio, fiables como Windows o Adobe Flash.
Luego, una vez que ha penetrado en el ordenador, el ransomware se activa y provoca el bloqueo de todo el sistema operativo, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar toda la información. Además, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de Internet y hasta una fotografía captada desde la webcam.

¿Como protegerse?

Hasta ahora la única manera de recuperar sus archivos en caso de infectarse es pagando el rescate exigido por los perpetradores de la contaminación. Para mitigar la exposición a esta amenaza se recomienda tomar las siguientes acciones:
  • Hacer backups o respaldos periódicos de toda la información importante, data personal, financiera, etc. tenerla a buen resguardo para que pueda ser restaurada en caso de ser infectado, en la mayoría de los casos se procede a hacer barrido total del computador, formateo de discos y reinstalación del sitema operativo y aplicaciones productivas para Ud. o su empresa.
  • Mantener sus computadores al día con las ultimas actualizaciones emitidas por el fabricante de su sistema operativo (Microsoft, Apple, etc), si es posible automatizar el proceso desde el panel de control, para que se hagan programadamente.
  • Instalar en sus computadores un antivirus reconocido, actualizado y en funcionamiento.
  • Analizar muy bien que tipo de correos electrónicos abrir, asegurarse que sólo sean de remitentes conocidos, no abrir correos con promociones engañosas, loterías, etc. que contengan archivos incrustados de tipo .doc . xls o .pdf.
  • No habilitar los macros, dado que gran parte del ransomware se distribuye a través de documentos Office que engañan a los usuarios para que habiliten los macros. Incluso valorar la instalación de visores de Microsoft Office, dado que permiten ver un archivo de Word o Excel sin macros. Asimismo es recomendable que en las empresas se conecten como administrador solo el tiempo necesario, y evitar navegar o abrir documentos en ese tiempo; segmentar la red local, es decir, separar las distintas áreas con un firewall, de manera que los sistemas y servicios solo sean accesibles cuando son realmente necesarios.