El mundo de las computadoras siempre tiene una lucha entre el bien y el mal. Mientras que las fuerzas del bien intentan mantener a raya a los crackers y malwares, las fuerzas del mal siempre encuentran algo más malvado que antes, algo más imparable y más difícil de romper. El ransomware es un tipo especial de malware, pero a diferencia de otros malware que simplemente actúan como ladrones para robar sus datos o dacoits que eliminan sus datos, este malware es inteligente. Actúa como un secuestrador y mantiene su sistema secuestrado, hasta que pague un rescate, algo de dinero, para recuperar su sistema.
¿Qué es ransomware?
El ransomware es un tipo de malware inteligente, pero a diferencia de otros malware que simplemente corrompen, eliminan archivos o realizan algún otro comportamiento sospechoso, este malware bloquea su sistema, archivos y aplicaciones, y le exige dinero si desea recuperarlos. Dije inteligente porque este malware ayuda directamente al atacante a ganar dinero. Otros tipos de malware, como virus, troyanos, etc., simplemente corrompen el sistema o roban algunos datos confidenciales, pero rara vez generan algún beneficio monetario para el atacante (a menos que el malware robe información confidencial, como números de tarjetas de crédito, etc.).
El origen del ransomware
Inicialmente, el ransomware era muy popular en Rusia, infectaba miles de sistemas informáticos y se propagaba como la pólvora. Este tipo de malware es más difícil de detectar, ya que pueden aparecer como pequeños programas inofensivos adjuntos a software disponible gratuitamente en Internet. La mayoría de ellos pueden ingresar a su sistema a través de archivos del sistema ya infectado, archivos adjuntos de correo electrónico o malware ya existente.
Una vez que el ransomware ha encontrado su anfitrión, comienza a atacar bloqueando el acceso de los usuarios a archivos, carpetas, configuraciones del sistema o aplicaciones. Al intentar abrir esos archivos y programas, el usuario recibe el mensaje de que han sido bloqueados y no se pueden abrir a menos que el usuario acepte pagar una cantidad. Por lo general, también hay una forma de contactar a los atacantes que pueden estar sentados en alguna otra parte del mundo, tomando directamente el control de su sistema.
Tipos de ransomware
Los ransomwares normalmente se clasifican en dos tipos, cifrado de ransomware y ransomware sin cifrar.
El ransomware de cifrado son aquellos que cifran los archivos, programas, etc. de su sistema y exigen un rescate para descifrarlos. Por lo general, el cifrado se realiza mediante un algoritmo hash sólido que puede tardar varios miles de años en romperse en una PC de escritorio normal. Entonces, la única forma en que el usuario recupera sus archivos es dando el monto del rescate y obteniendo la clave de desbloqueo. Este es el ransomware más dañino por su puro mecanismo de ataque.
Otro tipo de ransomware es el que no cifra. Este no cifra sus archivos, sino que bloquea el acceso a ellos y muestra mensajes irritantes cuando intenta acceder a ellos. Este es un ransomware menos dañino y el usuario puede deshacerse fácilmente de él haciendo una copia de seguridad de los archivos importantes e instalando el sistema operativo nuevamente.
Ejemplos de ataques de ransomware
Uno de los ransomware recientes que causó más daño fue en 2013, se conoce como CryptoLocker. El cerebro detrás de este malware era un hacker ruso llamado Evgeniy Bogache. El malware, cuando se inyecta en un sistema host, escanea el disco duro de la víctima y se dirige a extensiones de archivo específicas y las encripta. Estos pueden ser archivos o programas importantes que el usuario realmente necesita, como documentos, programas o claves. El cifrado se realiza mediante un par de claves RSA de 2048 bits, con la clave privada cargada en el servidor de comando y control. Luego, los programas amenazan al usuario con eliminar la clave privada, a menos que se realice un pago en forma de bitcoins dentro de los tres días.
Una clave RSA 2048 es de hecho una gran protección, y una PC de escritorio normal tardará varios miles de años en romper la clave usando la fuerza bruta. El usuario, indefenso, se compromete a pagar el importe con el fin de recuperar los archivos.
Se estima que este CryptoLocker Ransomware adquirió al menos $ 3 millones antes de que se cerrara.
Si bien eso es mucho dinero, otro ransomware con el nombre de WinLock pudo adquirir $ 16 millones en rescate Si bien no encriptaba el sistema como CryptoLocker, lo que hacía era restringir el acceso a la aplicación del usuario y mostrar imágenes pornográficas en su lugar. Luego, el usuario se vio obligado a enviar un SMS de tarifa premium, que costó alrededor de $ 10 para obtener un código para desbloquear el ransomware.
Todos estos ataques se remontan a 2013.
Sin embargo, el ataque más reciente fue por una forma actualizada de ransomware, llamada Criptomuro 2.0. De acuerdo a un Informe del New York Times este ransomware atacó las PC de manera similar a CryptoLocker y atacó archivos especialmente importantes en el sistema de la víctima, como recibos de impuestos, facturas, etc. Luego exigió un rescate de $ 500. El precio del rescate se duplicó después de una semana y, una semana más tarde, se eliminó la clave de desbloqueo.
Recientemente, según algunos informes, CryptoWall se ha actualizado a la versión 3.0 y, aparentemente, se ha vuelto más peligroso que nunca. Esta versión de CryptoWall encripta los archivos del usuario mediante un sistema de escaneo inteligente y luego genera un enlace único para el usuario. Como protección para preservar el anonimato de los atacantes y hacer que las agencias gubernamentales sean más difíciles de arrestarlos, este ransomware no solo usa Tor, sino también I2P, lo que hace que sea muy difícil rastrearlos.
Si bien puede sonar irónico, CrytoWall tiene un servicio al cliente realmente bueno. Como tienen que mantener una reputación para obtener más y más dinero, proporcionan claves de descifrado al usuario lo más rápido posible, a menudo horas después de que se haya pagado el rescate.
Otro grave incidente de ransomware ocurrió cuando un estudiante autista se ahorcó después de recibir un correo electrónico de ransomware.
Según este informe, el adolescente recibió un correo electrónico falso de la policía que decía que lo habían atrapado navegando en sitios web ilegales y que necesitaba pagar cien libras o enfrentar un proceso judicial. El adolescente entró en pánico y se ahorcó, incapaz de enfrentar la tragedia.
Si bien este tipo de correos electrónicos son comunes, uno debe asegurarse de no confiar en ellos sin importar cuán oficiales se vean. A menudo conducen al usuario a sitios web de phishing donde el atacante obtiene las cuentas bancarias de los usuarios y otras contraseñas importantes. La regla general es que las agencias bancarias y las fuerzas del orden nunca solicitarán credenciales privadas o pagos a través de Internet. Entonces, si recibe tales correos electrónicos, es muy probable que sean engañosos. Siempre puedes llamar consiguiendo su número oficial para saber si efectivamente te han dado tal aviso.
El ransomware es una buena apuesta para los sombreros negros porque generalmente se puede obtener mucho dinero simplemente creando pequeños programas que bloquean o encriptan su sistema de alguna manera. Si bien es más popular en la plataforma Windows, algunos otros sistemas operativos como OS X también se ven afectados por el ransomware, como uno en julio de 2013 que bloqueó el navegador del usuario y lo acusó de descargar pornografía.
Varios informes sugieren que los ataques de ransomware aumentan día a día. En su mayoría, se propagan mediante correos electrónicos no deseados, que a menudo vienen como archivos adjuntos. Los usuarios de Internet realmente deben tener cuidado al navegar por sitios web no oficiales y al abrir dichos correos electrónicos.
¿Por qué es difícil atrapar a los piratas informáticos Ransomware?
La mayor parte del ransomware se origina en países postsoviéticos como Rusia. Si bien estas personas exigen un rescate, el pago se realiza en forma de bitcoins, una criptomoneda descentralizada conocida por su anonimato y por no dejar rastros. Además, dado que los piratas informáticos son de origen extranjero, diplomáticamente es difícil convencer a los gobiernos extranjeros para que tomen medidas contra ellos.
¿Cómo nos protegemos contra el Ransomware?
Como dice el viejo refrán, más vale prevenir que curar. Entonces, ¿cómo se protege uno del ransomware?
Bueno, la forma más fácil sería tener un antivirus o antimalware instalado en el sistema y mantenerlo siempre actualizado. Si bien los antivirus gratuitos son bastante buenos, uno no debe dudar en adquirir uno de pago para una mejor protección. Aparte de eso, asegúrese de no descargar programas sospechosos de Internet. Mientras descarga programas, siempre descárguelos de los sitios oficiales y no de terceros no confiables. Y recuerde siempre, mantenga una copia de seguridad de todos los archivos importantes. Con los programas de copia de seguridad disponibles, puede configurarlo y olvidarse de él, es realmente fácil y sin complicaciones tener un programa de copia de seguridad. También puede cargar o sincronizar los archivos en Google Drive/Dropbox, etc., de modo que no solo tenga una copia de seguridad, sino que también pueda acceder a esos archivos sin importar dónde se encuentre.
Recuerde, una puntada a tiempo, ahorra nueve. Más vale prevenir que lamentar.
¿Cómo eliminar el malware Ransomware?
Anteriormente, la única manera de deshacerse del malware ransomware cifrado era pagar a los atacantes o aceptar que los archivos se habían perdido para siempre. Sin embargo, actualmente, algunos investigadores de seguridad informática han ideado programas que permitirán a los usuarios descifrar los archivos de sus discos duros sin pagar un rescate. Al igual que este sitio web, permite a los usuarios cargar un archivo cifrado no confidencial en su sitio e ingresar una dirección de correo electrónico. Luego de un descifrado exitoso, el sitio le enviará por correo electrónico la clave privada junto con instrucciones sobre cómo eliminar cryptolocker de su disco duro.
El programa fue desarrollado por FireEye y FoxIT y utilizó métodos de ingeniería inversa para romper CryptoLocker. Como sigue la regla, cada cosa cifrada se puede descifrar, solo lleva tiempo. Parece que las buenas fuerzas de la informática no están perdiendo después de todo.
VEA TAMBIÉN: Las 10 mejores aplicaciones antivirus para teléfonos inteligentes Android
