¿Que es RANSOMWARE?


Se trata de un malware (software diseñado con fines maliciosos) que bloquea el acceso a equipos o a los datos alojados en los mismos. Para desbloquearlo y poder acceder hay que pagar “un rescate económico”.

Ransomware de cifrado: cifra la información de los equipos infectados (disco duro, USB’s, Discos Virtuales – Cloud, conectados en el momento de la infección. Todo y que el bloqueo de acceso no impide que podamos utilizar o instalar antimalware o antivirus eficaces para la desinfección, solo conseguiremos eliminar la infección pero no desencriptar la información y datos anteriormente infectados.

Vías de infección:

Las vías más frecuentes son emails SPAM o a través de descargas de software (antivirus/antimalware, aplicaciones, drivers, updates, etc.) normalmente publicados en páginas de descargar ilegales.

El malware actúa mediante la detección previa de antivirus / antimalware instalados en el equipo, procediendo a desactivarlos y/o parando sus servicios.

Funcionamiento:

Por ejemplo “CryptoLocker”, famoso ransomware que ha causado y está causando muchos problemas a usuarios finales y a empresas, es capaz de cifrar cualquier fichero que sea accesible desde el equipo infectado (si tiene privilegios de escritura). Afecta a más de 180 extensiones de ficheros como pueden ser cualquier documentos ofimáticos, archivos multimedia, archivos comprimidos, etc.

En las carpetas infectadas genera un fichero de texto donde aparecen las instrucciones para la recuperación de los datos mediante “rescate económico”.

Más daños que pueden producir:

Intentará eliminar (si dispone de privilegios de Administración) las copias de recuperación (Shadow Copies) para evitar que el usuario / empresa puedan recuperar la información a través de las mismas.

Y es capaz de cambiar el fondo de pantalla del equipo para incluir las instrucciones de recuperación o método de rescate.

Como protegerse:

– Disponer de una copia de seguridad de la información / datos en algún dispositivo externo al equipo.

– Implementar la técnica DNS Sink Holes: http://www.bleepingcomputer.com/forums/t/511780/dns-sinkhole-campaign-underway-for-cryptolocker/.

– Colocando “trampas” para detectarlos, como las herramientas Anti Ransom: http://www.security-projects.com/?Anti_Ransom.

– Limitando los privilegios de los usuarios.

– O mediante detección proactiva, analizando los equipos periódicamente para adelantarnos a posibles infecciones y/o problemas que pudieran derivar en una posible infección.

Os dejo varios links interesantes para realizar revisiones:

https://www.virustotal.com/

http://www.cuckoosandbox.org/

Y un enlace interesante que seguro todos conocéis: https://www.incibe.es/.

Espero que os sirva de ayuda.