Índice de contenido
- 1 Cryptolocker es un ransomware que ataca a sus víctimas encriptando los documentos almacenados en el equipo y pidiendo un rescate por ellos.
- 2 ¿Cuándo apareció CryptoLocker?
- 3 Una amenaza real
- 4 ¿Qué Medidas de seguridad podemos tomar para evitar el ransomware?
- 5 ¿Qué hacer si resultamos infectados?
- 6 ¿Cómo funciona Cryptolocker en detalle?
- 6.1 Vector de ataque
- 6.2 Infección del equipo
- 6.3 Cifrado de los archivos
- 6.4 Comunicación con los servidores de los ciberdelincuentes
- 6.5 Imposibilita deshacer el proceso
- 6.6 Recuperación de los archivos secuestrados
- 6.7 Cifrado de los archivos
- 6.8 Comunicación con los servidores de los ciberdelincuentes
- 6.9 Imposibilita deshacer el proceso
- 6.10 Recuperación de los archivos secuestrados
- 6.11 ¿Qué hacer después?
Cryptolocker es un ransomware que ataca a sus víctimas encriptando los documentos almacenados en el equipo y pidiendo un rescate por ellos.
El ransomware es un tipo de malware que, una vez infecta el ordenador, bloquea la máquina y chantajea a la víctima para que ésta recupere el control del equipo a cambio de un desembolso de dinero.
Virus cryptolocker: se trata de un «programa malintencionado» cuyo objetivo es infectar las máquinas que utilizan el sistema operativo Windows.
¿Cuándo apareció CryptoLocker?
El primer ransomware de cifrado apareció en 2006-2007. Desde entonces y cada vez más, el número de versiones de este virus no hecho más que crecer.
Se ha convertido en una de las amenazas más peligrosas para los usuarios. Provoca millones de dolares / euros en pérdidas por todo el mundo.
Uno de los ransomware más habituales son los CryptoLocker, seguido de los TeslaCrypt, Wallet, Cerber y Dharma.
Cryptolocker hizo su primera aparición a finales de 2013.
Una amenaza real
El CryptoLocker se difunde sobre todo a través emails de phishing (correos electrónicos que tratan de engañar al usuario).
Cuando el equipo se ha infectado selecciona una serie de ficheros en los discos duros y los cifra. Utiliza para ello un sistema de RSA-2048 con una clave privada.
Algunos de los archivos que cifra, en base a sus extensiones conocidas son:
| .odt | .ods | .odp | .odm | .odc | .odb |
| .wps | .xls | .xlsx | .xlsm | .xlsb | .xlk |
| .ppt | .pptx | .pptm | .mdb | .accdb | .pst |
| .dwg | .dxf | .dxg | .wpd | .rtf | .wb2 |
| .mdf | .dbf | .psd | .pdd | .eps | .ai |
| .indd | .cdr | .jpg | .doc | .jpe | .jpeg |
| .dng | .3fr | .arw | .srf | .sr2 | .bay |
| .crw | .cr2 | .dcr | .kdc | .erf | .mef |
| .mrw | .nef | .nrw | .orf | .raf | .raw |
| .rwl | .rw2 | .r3d | .ptx | .pef | .srw |
| .x3f | .der | .cer | .crt | .pem | .pfx |
| .p12 | .p7b | .p7c | .docx | .docm |
El ransomware ya ha actuado
Una vez encriptados los archivos, envía esta clave a los servidores sitio web de los ciberdelincuentes, muestra un mensaje en pantalla y solicita un rescate por los datos.
Nos facilitarán una lista con cada archivo cifrado y en nuestro equipo saldrá una cuenta atrás de 3 días para que realicemos el pago. De lo contrario, no recuperaremos nuestros documentos.
Además, podemos ver en la imagen como indican que pasadas x horas, se borrará la clave almacenada en sus servidores. En conclusión, ya no habrá forma de recuperar nuestros datos.
La probabilidad de restaurar los archivos comprometidos por cryptolocker es muy baja, en torno a un 10%. Por lo que a día de hoy no hay ninguna solución comercial que asegure su recuperación; y el usuario habrá perdido sus datos para siempre.
Así, la mayor parte del trabajo debe ser la prevención.
Pagar la cantidad que nos solicitan no es garante de que nos devuelvan el acceso a nuestros documentos, de hecho la mayoría de las personas no reciben la clave para el desbloqueo tras realizar el pago.
Nuestra recomendación es no caer en este chantaje. Además, es una forma de alentar que continúen con su estafa.
¿Qué Medidas de seguridad podemos tomar para evitar el ransomware?
- Instalar soluciones perimetrales con filtrado anti-spam, ya que la principal via de entrada de este malware es por correo electrónico.
- Evitar descargar archivos cuyos enlaces estén indicados en el cuerpo del mensaje y que no vengan de personas de confianza.
- Actualizar el producto antivirus a la última versión y que las firmas están al día.
- Activar el control de aplicaciones de nuestro antivirus.
- Deshabilitar la opción de ‘Ocultar las extensiones de archivo para tipos de archivo conocidos’, en las ‘Opciones de Carpeta’ del Explorador de archivos de Windows.
- Mantener todo el software actualizado a últimas versiones de Java, Flash o Adobe Acrobat.
- Realizar de forma periódica backups de nuestros datos y comprobar la restauración de los mismos. En caso de resultar infectados, los necesitaremos…
¿Qué hacer si resultamos infectados?
Si pese a todas las medidas que hemos tomado, finalmente nuestro equipo se ha infectado con el ransomware, es importante actuar con prudencia para no empeorar la situación.
Evidentemente, si tenemos un a copia de seguridad de nuestros archivos, podemos restaurarla. Siempre y cuando, hayamos comprobado que el equipo no sigue infectado.
Diversos fabricantes ha sacado herramientas que nos pueden ser útiles para intentar recuperar los archivos:
- Kaspersky: Free Ransomware Decryptors
- Avast: Free Ransomware Decryption Tools
- Trend Micro: Crypto-Ransomware File Decryptor
Es recomendable desconectar el equipo de Internet.
Tanto si hemos tenido éxito, como si no, en la recuperación de los datos, es imprescindible contar con una solución que nos proteja frente a futuras amenazas.
Antiransomware para usuarios domésticos
Si eres un usuario particular, utiliza Sophos Home antivirus que además integra un sistema anti-ransomware y es totalmente gratuito. Si eres un usuario profesional y necesitas más información para eliminar esta amenaza de tus sistemas, contacta con nosotros.
Integra una solución de protección de Endpoint junto con el sistema anti-ransomware Sophos Intercept X.
Además forma parte del sistema de seguridad sincronizada capaz de integrarse con el propio firewall de la empresa y trabajar de forma conjunta.
¿Cómo funciona Cryptolocker en detalle?
¿Quieres saber de forma más técnica como funciona este malware? Te lo contamos.
Si bien el procedimiento varía ligeramente entre sus diferentes versiones y evoluciona de una a otra, el procedimiento es muy similar en todas ellas.
Vector de ataque
En primer lugar la víctima recibe normalmente un correo que se vale de ingeniería social, para engañarle y conseguir que lo abra.
Contiene un adjunto (el virus / troyano). Le hace creer que se trata de una factura o similar, suplantando posiblemente alguna conocida empresa.
El archivo adjunto suele ser un archivo zip protegido con contraseña. Además para abrirlo se necesita una clave que viene especificada en el cuerpo del correo.
De este modo se evita que el antivirus bloquee el correo. Al estar en un archivo protegido con contraseña, no puede acceder al contenido y detectar que se trata de un virus.
Por otro lado, aprovechando que Windows por defecto no se muestran las extensiones para tipos de archivos conocidos, el usuario piensa que abre un documento, cuando en realidad, se trata de un ejecutable.
Infección del equipo
Una vez que la víctima ha accedido al adjunto, este se ejecuta y se aloja en memoria de forma residente.
A continuación hace una copia de si mismo en <%userprofile%>\AppData\Local\AppData
Se añade a la lista de programas que se ejecutan al inicio. Así, se asegura que seguirá ejecutándose aunque se reinicie el ordenador.
El proceso del malware se ejecuta 2 veces de forma paralela. De este modo se asegura que aunque se cierre uno de los procesos por cualquier motivo, el otro seguirá funcionando.
Cifrado de los archivos
Comienza la parte dañina de este virus.
Recorre el sistema de archivos del disco duro, localizando los ficheros en base a su extensión (del listado que hemos publicado más arriba, en este mismo artículo).
Para cada fichero, genera una clave usando el sistema de cifrado AES, usando una clave simétrica aleatoria.
A continuación, cifra esa clave generada con un sistema de claves público-privada RSA.
Básicamente, con este sistema, tienes 2 claves:
- Una clave pública, (a la que cualquiera puede acceder), con la que puedes cifrar los datos.
- La clave privada (que solo tienen los ciberdelincuentes) que sirve para descifrar.
Utilizan una longitud de contraseña de hasta 2048 bits (es realmente un cifrado muy seguro).
Comunicación con los servidores de los ciberdelincuentes
El troyano establece comunicación con el servidor de los ciberdelincuentes y se descarga la llame pública con la que va a cifrar los datos.
Para no ser localizado utiliza técnicas de ocultación. Así los servidores a los que se conecta, cambian constantemente.
La clave pública, la almacena en el registro:
HKey_Current_User\Software\CryptoLocker\Public Key
Imposibilita deshacer el proceso
Cifra todos los datos a los que el usuario tenga acceso (de las extensiones mencionadas).
El archivo está encriptado y únicamente quien tenga la clave privada será capaz de restaurar los datos.
El archivo cifrado sobrescribe al original, para que no se pueda rescatar mediante los programas que buscan datos no sobrescritos en los discos duros.
Una vez finalizado todo el proceso, muestra la pantalla en la que se «invita» a pagar.
Recuperación de los archivos secuestrados
Si la victima cede al chantaje y hace el pago en bitcoins (para que no sea rastreable, pues se trata de una moneda que no permite rastrear las transacciones), supuestamente, recibirá la clave privada con la que se cifraron los archivos.
Incluso incluyen un «cómodo» programa para poder recuperar / descifrar los archivos secuestrados.
Por supuesto, sobre este proceso de recuperación, no hay ningún tipo de garantía y lo desaconsejamos totalmente.
Cifrado de los archivos
Comienza la parte dañina de este virus.
Recorre el sistema de archivos del disco duro, localizando los ficheros en base a su extensión (del listado que hemos publicado más arriba, en este mismo artículo).
Para cada fichero, genera una clave usando el sistema de cifrado AES, usando una clave simétrica aleatoria.
A continuación cifra esa clave generada con un sistema de claves público-privada RSA.
Básicamente con este sistema, tienes 2 claves:
- Una clave pública, (a la que cualquiera puede acceder), con la que puedes cifrar los datos.
- La clave privada (que solo tienen los ciberdelincuentes) que sirve para descifrar.
Utilizan una longitud de contraseña de hasta 2048 bits (es realmente un cifrado muy seguro).
Comunicación con los servidores de los ciberdelincuentes
El troyano establece comunicación con el servidor de los ciberdelincuentes y se descarga la llame pública con la que va a cifrar los datos.
Para no ser localizado utiliza técnicas de ocultación. Así, los servidores a los que se conecta, cambian constantemente.
La clave pública, la almacena en el registro:
HKey_Current_User\Software\CryptoLocker\Public Key
Imposibilita deshacer el proceso
Cifra todos los datos a los que el usuario tenga acceso (de las extensiones mencionadas).
El archivo está encriptado y únicamente quien tenga la clave privada será capaz de restaurar los datos.
Después de eso, el archivo cifrado sobrescribe al original, para que no se pueda rescatar. Por ejemplo, mediante programas que buscan datos no sobrescritos en los discos duros. Además, también se eliminan los puntos de restauración del sistema.
Una vez finalizado todo el proceso, muestra la pantalla en la que se «invita» a pagar.
Recuperación de los archivos secuestrados
Si la victima cede al chantaje y hace el pago en bitcoins (para que no sea rastreable, pues se trata de una moneda que no permite rastrear las transacciones), supuestamente, recibirá la clave privada con la que se cifraron los archivos.
Incluso, incluyen un «cómodo» programa para poder recuperar / descifrar los archivos secuestrados.
Por supuesto, sobre este proceso de recuperación, no hay ningún tipo de garantía y lo desaconsejamos totalmente.
¿Qué hacer después?
Una vez que el equipo está infectado, lo mejor que podemos hacer, es reinstalar el equipo y dejarlo como viene de fábrica. Así nos aseguramos que no queda rastro del malware.
Del mismo modo, los fabricantes de los equipos ofrecen herramientas sencillas para realizar este proceso. Desde las opciones de recuperación de windows, también podemos devolver el equipo a la configuración inicial.
Luego es importante instalar todas las actualizaciones disponibles. Tanto del sistema operativo como de todos los programas que utilicemos.
Además, instalaremos un sistema antivirus y antiransomware.
De los archivos que tengamos de copia de seguridad es importante eliminar cualquiera que nos resulte sospechoso.
Finalmente, es importante tener en cuenta los riesgos que implica el uso de los equipos. La mejor forma de estar protegido es aunar sistemas actualizados + software antimalware + sentido común.
