Tabla de contenido:
- ¿Qué es el ransomware?
- Qué hacer con el ransomware
- El nuevo y mejorado ransomware de hoy
- Protegiendo su computadora
El ransomware, o crypto-extortion, está haciendo un fuerte resurgimiento. En diciembre de 2013, ESET Security determinó que el ransomware perteneciente a la infame familia CryptoLocker se había propagado a todos los rincones del mundo. Y más del 50 por ciento de los ataques ocurrieron aquí mismo en los Estados Unidos.
Fuente: ESET Security
Aunque CryptoLocker es una pieza de malware muy exitosa, parece que está a punto de ser usurpada por un ransomware aún más insidioso llamado PowerLocker.
¿Qué es el ransomware?
Para aquellos que no están familiarizados con el ransomware, ahora es el momento de aprenderlo. De hecho, es mucho mejor leerlo ahora, que ser presentado a través de una ventana de aspecto siniestro como la de abajo.
Fuente: Malwarebytes.org
La diapositiva anuncia que el ransomware, en este caso CryptoLocker, se ha apoderado de la computadora de la víctima. Malwarebytes.org ha determinado que CryptoLocker busca archivos con las siguientes extensiones:
3fr, accdb, ai, arw, bay, cdr, cer, cr2, crt, crw, dbf, dcr, der, dng, doc, docm, docx, dwg, dxf, dxg, eps, erf, indd, jpe, jpg, kdc, mdb, mdf, mef, mrw, nef, nrw, odb, odm, odp, ods, odt, orf, p12, p7b, p7c, pdd, pef, pem, pfx, ppt, pptm, pptx, psd, pst, ptx, r3d, raf, raw, rtf, rw2, rwl, srf, srw, wb2, wpd, wps, xlk, xls, xlsb, xlsm, xlsx
Algunas de las extensiones más familiares, que se encuentran en negrita, están relacionadas con documentos de Microsoft Office. Si la víctima tuviera documentos con cualquiera de las extensiones anteriores en sus computadoras ahora infectadas, los archivos serían completamente inaccesibles. En otras palabras, serán retenidos en rescate.
En la captura de pantalla anterior, la sección encerrada en verde menciona que se usó el cifrado de clave pública-privada para cifrar los archivos. Y, a menos que trabaje para la NSA, es muy probable que ese tipo de cifrado sea irrompible. La sección encerrada en rojo anuncia el monto del rescate, en este caso $ 300.
Qué hacer con el ransomware
Una vez infectado con ransomware, las opciones son simples. Las víctimas pagan o no lo hacen. Ninguna de las dos opciones es una buena opción. No pagar significa que los archivos se pierden. Luego, el usuario tiene que decidir si fregar la computadora con un producto antimalware o reconstruir la computadora por completo.
Pero pagar el rescate también apesta, porque esto obliga a las víctimas a confiar en el extorsionista. Antes de morder la bala y pagar el rescate, considere lo siguiente: una vez que el extorsionista tiene el dinero, ¿por qué enviar la información de descifrado? Y, si todo funciona y se liberan sus archivos, aún tiene que pasar por el mismo proceso para decidir si desea limpiar la computadora con un producto antimalware o reconstruirlo.
El nuevo y mejorado ransomware de hoy
Anteriormente, mencioné brevemente PowerLocker como el nuevo y mejorado ransomware. Y tiene el potencial de hacer más daño que cualquier variante anterior de ransomware. Dan Goodin de Ars Technica proporcionó esta explicación de lo que PowerLocker es capaz de hacer.
En su publicación, Goodin afirma que el underground digital ha decidido comercializarse, ofreciendo PowerLocker como un kit de malware de bricolaje por $ 100, lo que significa que más personas malas, particularmente aquellas que no dominan el lenguaje malicioso, podrán infligir dolor en los desprevenidos viajeros de Internet.
"PowerLocker cifra los archivos utilizando claves basadas en el algoritmo Blowfish. Cada clave se cifra en un archivo que solo puede desbloquearse con una clave RSA privada de 2048 bits", escribe Goodin.
Me gusta obtener una segunda fuente de información sobre el malware que se acaba de descubrir y que aún no circula en la naturaleza. Entonces contacté a Marcin Kleczynski, CEO y fundador de Malwarebytes.org, para pedirle su opinión sobre PowerLocker.
Kleczynski, junto con sus colegas Jerome Segura y Christopher Boyd, mencionó que PowerLocker es tan nuevo que gran parte de lo que se publica es especulación. Teniendo esto en cuenta, PowerLocker potencialmente mejora CryptoLocker al poder:
- Deshabilite ciertos programas centrales de Windows, como el administrador de tareas, regedit y la terminal de línea de comandos
- Comience en modo regular y seguro
- Evadir la detección de máquinas virtuales y los depuradores populares
"Dado el éxito de CryptoLocker, no es sorprendente ver a los imitadores presentando mejores características", dijo Kleczynski. "La buena noticia: dado que esta amenaza se detectó temprano, debería permitir que las agencias de aplicación de la ley la aclaren antes de que salga y comience a infectar las PC".
Protegiendo su computadora
Entonces, ¿cómo puedes protegerte de ser retenido? Kleczynski ofrece algunos consejos simples.
"Tenga cuidado al abrir archivos adjuntos de correo electrónico. En particular: Amazon, DHL y otras facturas similares que vienen como un archivo zip. La mayoría de las veces son falsas y contienen malware", dijo Kleczynski.
Más allá de eso, no existe una fórmula mágica para evitar el ransomware. Es solo malware que busca computadoras vulnerables para explotar. Los programas antimalware pueden ser de alguna ayuda, pero generalmente se activan después de que los datos se han cifrado. La mejor solución es mantener actualizado el sistema operativo y el software de aplicación de la computadora, eliminando cualquier debilidad que los malos puedan explotar.
