Ransomware

For computer users, a form of malicious code dubbed ransomware can be among the most frightening forms of computer invasion – suddenly, your screen is replaced by a message that appears to be from the police, demanding money, or a message saying your files are lost unless you pay a ransom to unlock them.  One particular form of ransomware, referred to as filecoders, is designed to extort money by encrypting a user’s files and demanding payment to access them. One of the most prevalent examples of this type of malware is called CryptoLocker.

A continuación se ofrecen algunos consejos que pueden ayudar, incluso si ya ha sido víctima.

No pagues el dinero. Ninguna fuerza policial de la Tierra bloqueará su ordenador y exigirá dinero: el mensaje NO es del FBI. No pague el dinero. Contacte con un profesional de la informática si no puede desbloquearlo usted mismo. En algunos casos -especialmente en el de los filecoders- puede que no haya nada que puedas hacer, pero un profesional informático debería ser tu primera parada.

Don’t pirate software, music, or movies.  Pirate sites offering free music, games or films are often infested with malware – but this year, cybercriminals have been “gaming” Google searches to infect wannabe pirates with ransomware. Ordinary Internet searches lead people to such sites – with cybercriminals using “black hat” SEO to push infected sites high up in Google results.

No pienses que si pasas la pantalla de bloqueo, el virus "ha desaparecido". A veces es posible "pasar" la pantalla de bloqueo que muestran algunas formas de ransomware, pero eso no significa que estés a salvo. Es probable que tu ordenador siga infectado. Invierte en un software antivirus o ponte en contacto con un profesional de la informática para que te ayude.

Si tienes una copia de seguridad, eres "inmune" a los filecoders. Los filecoders se basan en una cosa: que guardes archivos únicos y valiosos en tu PC. No lo hagas. Usted no guarda las reliquias familiares en su coche, las guarda en una caja fuerte. Haga lo mismo con sus datos. Si tienen copias de seguridad, entonces el malware no es más que una molestia. Así que hay que reiterar con fuerza la importancia de hacer copias de seguridad periódicas.

There are, however, at least two “fortunate points” about this malware: It’s visible, not hidden, and the user knows he’s infected – unlike many other malware types that could be stealing money/data silently (of course, that doesn’t mean that he’s not infected with something else together with the filecoder!)

Intenta rescatar tus archivos. A menos que tengas conocimientos profundos, deberías contactar con un profesional de la informática para que te ayude con los filecodificadores - y no te hagas ilusiones, ya que muchos utilizan un cifrado fuerte que es básicamente imposible de romper. En algunos casos, cuando el codificador de archivos utiliza un cifrado débil, o una implementación defectuosa, o almacena la contraseña de cifrado en algún lugar para ser recuperada, puede ser posible descifrar los archivos. Por desgracia, en la mayoría de los casos, los atacantes han aprendido a evitar estos errores y recuperar los archivos cifrados sin la clave de cifrado es casi imposible.

Aprende lo que significa "copia de seguridad" - y elige la solución adecuada para ti. Para los usuarios domésticos, una forma sencilla de empezar a hacer "copias de seguridad" -sin ahondar en soluciones complejas- es utilizar servicios en la nube como Google Drive, Amazon, Dropbox y Flickr para almacenar documentos, música, vídeos y fotos. Estos servicios ofrecen versiones gratuitas, y pueden al menos salvar algunos de los archivos más personales de tu ordenador de ser devorados por el malware.

Cómo funciona el ransomware

Hay muchos estados de ransomware, entre ellos CryptoWall, TorrentLocker y CTB-Locker, por nombrar algunos. CTB-Locker es una variante de ransomware que cifra los archivos del disco duro de la víctima antes de exigir el pago de un rescate para descifrarlos.  

El vector de ataque de la campaña de spam malicioso CTB-Locker es un correo electrónico con un archivo adjunto ZIP o CAB que dice ser un FAX o una factura. Estos contenedores ZIP o CAB contienen un descargador que probablemente sean nuevas variantes de varias familias de ransomware. Estos descargadores son generalmente un tipo de archivo ejecutable portátil (.EXE, .SCR, .BAT, .PIF, .CMD) y son responsables de la descarga de la amenaza secundaria, que es un archivo cifrado que realiza la rutina de cifrado real.