Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acces...
Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.
Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. https://es.wikipedia.org/wiki/Ransomware.
Uno de los Ransomware más famosos es el Virus de la PolicÃa, que tras bloquear el ordenador infectado lanza un mensaje simulando ser la PolicÃa Nacional y advirtiendo que desde ese equipo se ha detectado actividad ilegal relacionada con la pederastia o la pornografÃa. Para volver a acceder a toda la información, el malware le pide a la vÃctima el pago de un rescate en concepto de multa. http://www.pandasecurity.com/spain/mediacenter/consejos/que-es-un-ransomware/
La vergüenza, la necesidad de recuperar sus datos y la presión ante un mensaje alarmante y desconocido, son algunos de los factores que provocan que algunos de los afectados por este tipo de virus terminen pagando el rescate de su ordenador.
¿Cómo actúa el Ransomware?
Se camufla dentro de otro archivo o programa apetecible para el usuario que invite a hacer click: archivos adjuntos en correos electrónicos, vÃdeos de páginas de dudoso origen o incluso en actualizaciones de sistemas y programas en principio fiables como Windows o Adobe Flash. Una vez que ha penetrado en el ordenador, el malware se activa y provoca el bloqueo de todo el sistema operativo y lanza el mensaje de advertencia con la amenaza y el importe del “rescate” que se ha de pagar para recuperar toda la información. El mensaje puede variar en función del tipo de ransomware al que nos enfrentemos: contenido pirateado, pornografÃa, falso virus…
Para potenciar la incertidumbre y el miedo de la vÃctima, en ocasiones incluyen en la amenaza la dirección IP, la compañÃa proveedora de internet y hasta una fotografÃa captada desde la webcam.
¿Cómo evitar el Ransomware?
Las prácticas para evitar ser infectado por este malware son comunes a las que debemos seguir para evitar otros virus.
–Mantener nuestro sistema operativo actualizado para evitar fallos de seguridad.
–Tener instalado un buen producto antivirus y mantenerlo siempre actualizado.
–No abrir correos electrónicos o archivos con remitentes desconocidos.
–Evitar navegar por páginas no seguras o con contenido no verificado.
Tipos de ransomware
Reveton
En 1989 se comenzó a diseminar un ransomware llamado Reveton.3 Estaba basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al paÃs donde reside la vÃctima. Por este funcionamiento se lo comenzó a nombrar como Trojan cop, o ‘troyano de la policÃa’, debido a que alegaba que el computador habÃa sido utilizado para actividades ilÃcitas, tales como descargar software pirata o pornografÃa infantil. El troyano desplega una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarla, mediante el pago de un vale a una cuenta anónima como puede ser Ukash o Paysafecard.
Con el objetivo de hacer creer a la vÃctima que su computador está siendo monitoreado por la ley es que se muestra la dirección IP del computador en la pantalla como asà también se puede desplegar material de archivo simulando que la cámara web del computador está filmando a la vÃctima.
A principios del año 2012 comenzó su expansión por varios paÃses de Europa, según el paÃs podrÃa variar el logo referente a las Fuerzas de la Ley referentes a cada paÃs. Por ejemplo en el Reino Unido contenÃa el logo del Servicio de PolicÃa Metropolitana, debido a estos sucesos la PolicÃa Metropolitana envió un comunicado informando que bajo ningún concepto ellos bloquearÃan un computador ni siquiera como parte de una investigación.
En mayo 2012, Trend Micro descubrió las variaciones de este malware para los Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo en América del Norte. En agosto 2012, se comenzó a utilizar el logo del FBI para reclamar una fianza de 200 dólares a pagar mediante una tarjeta de aMoneyPak a los propietarios de computadores infectados. En febrero 2013, un ciudadano ruso fue arrestado en Dubái por autoridades españolas debido a su conexión con la red criminal que habÃa estado usando Reventon, a este ciudadano se le sumaron otras diez personas con cargos por lavado de dinero.
En agosto de 2014, Avast reportó nuevas variantes de Reventon, donde se distribuÃa software malicioso con el fin de robar contraseñas.
CryptoLocker
En septiembre de 2013 hizo su reaparición el ransomware basado en el cifrado de archivos también conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de un tipo de extensión especÃfica. El virus elimina la clave privada a través del pago de un bitcoin o un bono prepago en efectivo dentro de los tres dÃas luego de la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difÃcil reparar la infección de un sistema.
En caso de que el pago se retrase más allá de los tres dÃas el precio incrementa a 10 bitcoins, lo que equivalÃa, aproximadamente, a 2300 dólares, en noviembre 2013.
CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS, tal cual fue anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2 de junio de 2014.
El Departamento de Justicia emitió una acusación en contra del ciberdelincuente ruso Evgeniy Bogachev (Евгений Богачев) alegando su participación en la red GameoverZeuS. Se estima que al menos tres millones de dólares se cobraron hasta que el malware fue dado de baja.
CryptoLocker.F y TorrentLocker
En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos en Australia, denominados CryptoWall y CryptoLocker. Las infecciones se propagaban a través de una cuenta falsa del correo australiano la cual enviaba un correo electrónico notificando entregas fallidas de paquetes. De este modo se evadÃa el chequeo del correo en los filtros de antispam y conseguÃa que llegasen a los destinatarios. Esta variante requerÃa que los usuarios ingresaran en una página web y, previa comprobación mediante un código CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware en el correo o en los enlaces insertados.
Symantec determinó la aparición de nuevas variantes conocidas como CryptoLocker.F, el cual no tenÃa ninguna relación al original debido a sus diferencias en el funcionamiento. La Corporación Australiana de Broadcasting fue vÃctima de estos malware, la cual, durante media hora, interrumpió su programa de noticias ABC News 24 y tuvo que trasladarse aa los estudios de Melbourne y abandonar las computadoras pertenecientes al estudio de SÃdney debido a CryptoWall.
TorrentLocker es otro tipo de infección con un defecto ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado paso a ser trivial pero antes de descubrirse ya habÃan sido 9000 los infectados en Australia y 11 700 en TurquÃa.
CryptoWall
CryptoWall es una variedad de ransomware que surgió a principios de 2014 bajo el nombre de CryptoDefense dirigida a los sistemas operativos Microsoft Windows. Se propaga a través de correo electrónico con suplantación de identidad, en el cual se utiliza software de explotación como Fiesta o Magnitud para tomar el control del sistema, cifrar archivos y asà pedir el pago del rescate del computador. El rango de precios se encuentra entre los 500 $ y 1000 $.
En marzo de 2014, José Vildoza, un programador argentino, desarrolló una herramienta para recuperar los archivos de las vÃctimas de manera gratuita. La recuperación de archivos fue posible gracias a una falla en el programa malicioso por el cual las claves de cifrado quedaban guardadas en el equipo afectado. 4 5
Cuando los autores se percataron del error, actualizaron el criptovirus nombrándolo CryptoWall, el mismo pasó por distintas actualizaciones hasta llegar a la versión 3.0.
CryptoWall 3.0 ha sido reportado desde enero 2015 como una infección que está surgiendo donde hackers rusos se encuentran detrás de esta extorsión.
TeslaCrypt
TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave maestra para el descifrado de los ficheros atacados es pública. Existe una herramienta gratuita de la empresa ESET que permite realizar este trabajo.
Mitigación
Al igual que muchas formas de malware, los programas de seguridad las detectan (ransomware) una vez que han hecho su trabajo, especialmente si una versión de malware está siendo distribuida. Si un ataque se detecta de manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar el proceso de encriptación. Expertos sugieren instalar software que ayuden a bloquear este tipo de ataques conocidos, como asà también tener respaldos de seguridad en lugares inaccesibles para cualquier malware.
Fuentes:
https://es.wikipedia.org/wiki/Ransomware
Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. https://es.wikipedia.org/wiki/Ransomware.
Uno de los Ransomware más famosos es el Virus de la PolicÃa, que tras bloquear el ordenador infectado lanza un mensaje simulando ser la PolicÃa Nacional y advirtiendo que desde ese equipo se ha detectado actividad ilegal relacionada con la pederastia o la pornografÃa. Para volver a acceder a toda la información, el malware le pide a la vÃctima el pago de un rescate en concepto de multa. http://www.pandasecurity.com/spain/mediacenter/consejos/que-es-un-ransomware/
La vergüenza, la necesidad de recuperar sus datos y la presión ante un mensaje alarmante y desconocido, son algunos de los factores que provocan que algunos de los afectados por este tipo de virus terminen pagando el rescate de su ordenador.
¿Cómo actúa el Ransomware?
Se camufla dentro de otro archivo o programa apetecible para el usuario que invite a hacer click: archivos adjuntos en correos electrónicos, vÃdeos de páginas de dudoso origen o incluso en actualizaciones de sistemas y programas en principio fiables como Windows o Adobe Flash. Una vez que ha penetrado en el ordenador, el malware se activa y provoca el bloqueo de todo el sistema operativo y lanza el mensaje de advertencia con la amenaza y el importe del “rescate” que se ha de pagar para recuperar toda la información. El mensaje puede variar en función del tipo de ransomware al que nos enfrentemos: contenido pirateado, pornografÃa, falso virus…
Para potenciar la incertidumbre y el miedo de la vÃctima, en ocasiones incluyen en la amenaza la dirección IP, la compañÃa proveedora de internet y hasta una fotografÃa captada desde la webcam.
¿Cómo evitar el Ransomware?
Las prácticas para evitar ser infectado por este malware son comunes a las que debemos seguir para evitar otros virus.
–Mantener nuestro sistema operativo actualizado para evitar fallos de seguridad.
–Tener instalado un buen producto antivirus y mantenerlo siempre actualizado.
–No abrir correos electrónicos o archivos con remitentes desconocidos.
–Evitar navegar por páginas no seguras o con contenido no verificado.
Tipos de ransomware
Reveton
En 1989 se comenzó a diseminar un ransomware llamado Reveton.3 Estaba basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al paÃs donde reside la vÃctima. Por este funcionamiento se lo comenzó a nombrar como Trojan cop, o ‘troyano de la policÃa’, debido a que alegaba que el computador habÃa sido utilizado para actividades ilÃcitas, tales como descargar software pirata o pornografÃa infantil. El troyano desplega una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarla, mediante el pago de un vale a una cuenta anónima como puede ser Ukash o Paysafecard.
Con el objetivo de hacer creer a la vÃctima que su computador está siendo monitoreado por la ley es que se muestra la dirección IP del computador en la pantalla como asà también se puede desplegar material de archivo simulando que la cámara web del computador está filmando a la vÃctima.
A principios del año 2012 comenzó su expansión por varios paÃses de Europa, según el paÃs podrÃa variar el logo referente a las Fuerzas de la Ley referentes a cada paÃs. Por ejemplo en el Reino Unido contenÃa el logo del Servicio de PolicÃa Metropolitana, debido a estos sucesos la PolicÃa Metropolitana envió un comunicado informando que bajo ningún concepto ellos bloquearÃan un computador ni siquiera como parte de una investigación.
En mayo 2012, Trend Micro descubrió las variaciones de este malware para los Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo en América del Norte. En agosto 2012, se comenzó a utilizar el logo del FBI para reclamar una fianza de 200 dólares a pagar mediante una tarjeta de aMoneyPak a los propietarios de computadores infectados. En febrero 2013, un ciudadano ruso fue arrestado en Dubái por autoridades españolas debido a su conexión con la red criminal que habÃa estado usando Reventon, a este ciudadano se le sumaron otras diez personas con cargos por lavado de dinero.
En agosto de 2014, Avast reportó nuevas variantes de Reventon, donde se distribuÃa software malicioso con el fin de robar contraseñas.
CryptoLocker
En septiembre de 2013 hizo su reaparición el ransomware basado en el cifrado de archivos también conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de un tipo de extensión especÃfica. El virus elimina la clave privada a través del pago de un bitcoin o un bono prepago en efectivo dentro de los tres dÃas luego de la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difÃcil reparar la infección de un sistema.
En caso de que el pago se retrase más allá de los tres dÃas el precio incrementa a 10 bitcoins, lo que equivalÃa, aproximadamente, a 2300 dólares, en noviembre 2013.
CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS, tal cual fue anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2 de junio de 2014.
El Departamento de Justicia emitió una acusación en contra del ciberdelincuente ruso Evgeniy Bogachev (Евгений Богачев) alegando su participación en la red GameoverZeuS. Se estima que al menos tres millones de dólares se cobraron hasta que el malware fue dado de baja.
CryptoLocker.F y TorrentLocker
En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos en Australia, denominados CryptoWall y CryptoLocker. Las infecciones se propagaban a través de una cuenta falsa del correo australiano la cual enviaba un correo electrónico notificando entregas fallidas de paquetes. De este modo se evadÃa el chequeo del correo en los filtros de antispam y conseguÃa que llegasen a los destinatarios. Esta variante requerÃa que los usuarios ingresaran en una página web y, previa comprobación mediante un código CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware en el correo o en los enlaces insertados.
Symantec determinó la aparición de nuevas variantes conocidas como CryptoLocker.F, el cual no tenÃa ninguna relación al original debido a sus diferencias en el funcionamiento. La Corporación Australiana de Broadcasting fue vÃctima de estos malware, la cual, durante media hora, interrumpió su programa de noticias ABC News 24 y tuvo que trasladarse aa los estudios de Melbourne y abandonar las computadoras pertenecientes al estudio de SÃdney debido a CryptoWall.
TorrentLocker es otro tipo de infección con un defecto ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado paso a ser trivial pero antes de descubrirse ya habÃan sido 9000 los infectados en Australia y 11 700 en TurquÃa.
CryptoWall
CryptoWall es una variedad de ransomware que surgió a principios de 2014 bajo el nombre de CryptoDefense dirigida a los sistemas operativos Microsoft Windows. Se propaga a través de correo electrónico con suplantación de identidad, en el cual se utiliza software de explotación como Fiesta o Magnitud para tomar el control del sistema, cifrar archivos y asà pedir el pago del rescate del computador. El rango de precios se encuentra entre los 500 $ y 1000 $.
En marzo de 2014, José Vildoza, un programador argentino, desarrolló una herramienta para recuperar los archivos de las vÃctimas de manera gratuita. La recuperación de archivos fue posible gracias a una falla en el programa malicioso por el cual las claves de cifrado quedaban guardadas en el equipo afectado. 4 5
Cuando los autores se percataron del error, actualizaron el criptovirus nombrándolo CryptoWall, el mismo pasó por distintas actualizaciones hasta llegar a la versión 3.0.
CryptoWall 3.0 ha sido reportado desde enero 2015 como una infección que está surgiendo donde hackers rusos se encuentran detrás de esta extorsión.
TeslaCrypt
TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave maestra para el descifrado de los ficheros atacados es pública. Existe una herramienta gratuita de la empresa ESET que permite realizar este trabajo.
Mitigación
Al igual que muchas formas de malware, los programas de seguridad las detectan (ransomware) una vez que han hecho su trabajo, especialmente si una versión de malware está siendo distribuida. Si un ataque se detecta de manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar el proceso de encriptación. Expertos sugieren instalar software que ayuden a bloquear este tipo de ataques conocidos, como asà también tener respaldos de seguridad en lugares inaccesibles para cualquier malware.
Fuentes:
https://es.wikipedia.org/wiki/Ransomware
http://www.pandasecurity.com/spain/mediacenter/consejos/que-es-un-ransomware/
http://www.adslzone.net/2016/06/19/ransomware-crypt38-ya-no-peligro-pc/
https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx
COMMENTS