Cuidado con el Ransomware. ¿Qué es?

Desktop blocked

 

Ransomware es un tipo de amenaza que una vez que ha conseguido infectar el equipo encripta los archivos del sistema identificados como más importantes utilizando para ello su extensión. Es un tipo de ataque que tiene como objetivo solicitar un rescate a cambio de la clave que desencripte los archivos cuyo pago solicitan realizarlo en bitcoins.

 

La incursión en el equipo puede ser por varias vías, pero la mayoría de las veces es mediante un ejecutable que solicita permisos de administrador, suplantando a algún proceso del sistema para que la victima no desconfie y conceda los mencionados permisos.

 

Una entrada, por ejemplo, puede ser a través de un correo electrónico en el que informan de la entrega de un paquete o carta certificada y necesitan la ejecución de un archivo para mas información. Hay multiples métodos para conseguir que la victima realice esta acción y comprometa el sistema y todos los archivos a los que tenga acceso el equipo dentro de la red local.

 

correos-virus

 

Una vez que se ha ejecutado el ransomware comienza a encriptar determinados archivos, que normalmente son mp3, avi, PDF, doc, docx, xls, jpg, rar, etc. También inserta en varias carpetas la instrucciones a seguir para obtener la clave privada.

 

El sistema que utiliza es similar al utilizado en los certificados electrónicos. En estos encriptados se utilizan dos claves, una publica que conocen tanto el emisor como el receptor, y otra privada que solamente conoce el emisor, pero que tiene que facilitársela al receptor si quiere que el mensaje sea descifrado. Más información aquí.

 

Cuando el ransomware ha encriptado los archivos añadiéndoles una extensión especifica, te ofrece la clave privada para que se pueda desencriptar pero a cambio de pago en bitcoins en un número de cuenta que facilitan. La cuenta es totalmente anónima.

 

Si existen datos importantes y no existe ninguna copia de seguridad, la única opción es abonar la cuota solicitada y esperar que funciones el desencriptado.

 

Si no existen datos importantes y tampoco de copia de seguridad se puede realizar un formateo completo del sistema o una restauración que deje el sistema como nuevo y sin ningún tipo de rastro del ataque.

 

Si existe copia de seguridad, tanto de datos como de sistema, se puede proceder a la restauración total del equipo.

 

Lo ideal es evitar este tipo de ataque tomando precauciones, por ejemplo:

 

  • No abrir nunca ningún archivo que no esperemos o de procedencia dudosa.
  • No trabajar con el usuario administrador, hacerlo con un usuario estándar.

 

Pero si el ataque consigue llegar al sistema, es esencial disponer de copias de seguridad que puedan dejar el equipo exactamente como estaba en el momento que se realizo la copia.

 

Ransomware es un secuestro datos en toda regla. Está en auge porque muchos usuarios no disponen de copias de seguridad y se ven obligados a pagar porque necesitan sus archivos, bien porque son archivos personales como imágenes, videos, etc., o bien porque son archivos corporativos y se necesitan para continuar con la actividad empresarial.

 

Webtresmil puede ayudaros a implantar una política de seguridad que proteja vuestros datos de este tipo de amenazas. Esperamos que estéis alerta.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *