Guía de conocimiento sobre ataques con Ransomware.

Qué es “Ransomware”

Podemos definirlo como un secuestro de la información de nuestro ordenador por la que deberemos pagar un rescate, de ahí su nombre: Ransom: Rescate y Ware: Software. En función de la versión utilizada en el ataque, podemos hablar de infección de dos tipos:

  • Ataque sin cifrado de datos (Ransomware)
  • Ataque con cifrados de datos (Cryptolocker)

¿Cómo actúa?

Ransomware funciona como un “troyano”, en honor al célebre “caballo de Troya” de la mitología Griega. Se oculta dentro de otro software para pasar inadvertido, y cuando el usuario usa o ejecuta el software que tiene el troyano, éste toma el control del ordenador. En las primeras versiones hubo una muy conocida, el famoso “virus de la policía”, el cual nos mostraba una ventana informándonos que habíamos realizado acciones ilegales y no exigía el pago de una multa para poder retomar el control de nuestro ordenador.

¿Dónde puede venir camuflado?

El método más usual donde se suele ocultar es en un archivo adjunto en un correo electrónico. También lo podemos encontrar en vídeos, programas o actualizaciones del sistema operativo o de programas (adobe flash) que provengan de páginas sospechosas.

Tipos de infección

Podemos encontrarnos con infección no cifrada o con infección encriptada. En el primer caso (Ransomware), la recuperación de datos se puede llevar a cabo, con una pérdida de datos mínima; en el segundo caso (Cryptolocker), cuando en la infección los datos del usuario son encriptados, la recuperación suele ser de muy difícil solución, llegando a casos de pérdida absoluta de los datos.

En ambos casos, se nos pedirá el pago de un rescate para recuperar el control de nuestro ordenador.

 

El día D de Telefónica

El pasado 12 de mayo de 2017, además de telefónica, empresas y organismos de más de 70 países se vieron afectados por el ataque de un troyano llamado “wannacry”.

¿Qué pasó en telefónica ese día?

Según se ha podido saber, el ataque comienza con un spam masivo (envío de correos electrónicos no solicitados) el cual contiene un enlace para la descarga de un dropper (programa aparentemente no malicioso que lleva en su interior el código malicioso o las instrucciones necesarias para descárgalo desde algún sitio de internet).

Cuando un usuario descarga ese archivo, lo primero que ocurre es que el pc es infectado con Ransomware perdiendo el control sobre el ordenador. A continuación, empieza a escanear la red área local buscando ordenadores a los que infectar, para ello utiliza una vulnerabilidad de los sistemas operativos de Microsoft que utilizan el uso compartido de archivos y carpetas, para propagarse a otros equipos con la misma vulnerabilidad.

¿Por qué se infectaron los equipos?

La vulnerabilidad que wannacry utilizó para el ataque era conocida desde el mes de marzo de 2017 (SMB versión 1) y Microsoft había lanzado un parche que lo corregía. Pero aquí entran en juego un tipo de usuario/administrador, que por liberar un ligero porcentaje de recursos del sistema operativo, deshabilita la función “actualización automática de Windows (Windows update)”. Estos equipos están expuestos a no recibir actualizaciones críticas o necesarias para la estabilidad y/o seguridad de nuestro ordenador y por lo tanto queda indefenso ante las nuevas amenazas que se descubre de manera constante.

Me he infectado, ¿Y ahora qué?

En primer lugar hay que evaluar con qué tipo de infección hemos sido infectados. Si se tratase del primer supuesto, un tipo Ransomware sin cifrado, uno de los métodos más efectivos, aunque no lo parezca, es realizar un formateo del disco duro, ya que la infección sólo afecta a la parte “índice” de nuestro disco duro y una vez formateado, con un software de recuperación de datos, proceder a una restauración de los archivos.

Si por el contrario hemos sido infectados con el tipo Cryptolocker, la solución es más dificultosa. Podríamos, con los conocimientos y recursos de hardware necesarios, intentar un ataque de “fuerza bruta” para intentar averiguar la contraseña, pero puede ser que eso no nos dé resultado en un tiempo aceptable. Una opción a tener en cuenta es el formateo de nuestro ordenador, pero aquí no podremos utilizar la opción de recuperar archivos, ya que estos se encuentran encriptados y por mucho que formateemos, si recuperamos la información, la recuperaremos de la misma manera, encriptada.

Otra opción que tenemos es pagar el rescate mediante “bitcoin”, que en el caso de “wannacry” fueron 0,16 bitcoins, que al cambio son unos 300 dólares.

Según parece hay una herramienta que elimina ransomware, “AntiRansom”, así que antes de pagar, puedes intentar limpiar tu sistema utilizando esta herramienta.

¿Bitcoin?, Eso qué es:

Es una moneda virtual que escapa al control de autoridades financieras, legislaciones, ni tiene un emisor central. Es por tanto una moneda “sin ley”.

Es la moneda virtual más utiliza en el mundo. No tiene intermediarios, su falsificación es, de momento, imposible ya que utiliza un sistema criptográfrico.

Las transacciones son irreversibles y sobre todo son anónimas.

El dinero te pertenece, ninguna entidad u organismo puede intervenirlo o congelarlo.

El valor actual de 1 bitcoin es de € 1.592,32.

Aún no me he infectado, ¿me puedo infectar?

Hemos hablado de una vulnerabilidad en los sistemas de Microsoft, en concreto en las versiones:

  • Windows Vista
  • Windows 7
  • Windows Server 2012
  • Windows 8.1
  • Windows 10
  • Windows Server 2016

Ya hemos dicho que Microsoft lanzó una actualización de seguridad que corregía esta vulnerabilidad. Si tu sistema no está actualizado, de manera inmediata actualizar tu sistema operativo, si no sabes cómo, intenta pedir ayuda a un informático con experiencia.

Si tu sistema operativo no es Windows, como Linux o IOS de Apple, de momento puedes estar tranquilo, ya que wannacry utiliza una vulnerabilidad de sistemas Microsoft.

Qué debe hacer para estar protegido

Lo primero que haremos será actualizar nuestro sistema, si eso no es posible, deberemos realizar las siguientes acciones:

Aislar al ordenador de cualquier red de trabajo, desactivar las conexiones de red, tanto de cable como inalámbrica.

Desactivar el servicio SMBv1.  Puedes encontrar información de cómo hacerlo en el siguiente enlace: https://goo.gl/doLm6P

Bloquear la comunicación de los puertos 137/UDP y 138/UDP así como los puertos 139/TCP y 445/TCP en las redes de las organizaciones.

Bloquear el acceso a la red de anonimato Tor.

Y recuerda, una de las principales reglas de seguridad es el sentido común.

 

Anuncios