RANSOMWARE SIGUE ATACANDO

Santi Muñoz
(Experto en Seguridad Informática)

Los virus denominados Cryptolocker, de bloqueo encriptado, o también llamados Ransomware, consisten en la instalación de software en un equipo mediante engaño, que generalmente llega a través de un correo electrónico de procedencia desconocida.
Este correo lleva un archivo adjunto o un enlace al que hace referencia para que lo abras, no lo abras si no estás seguro de su procedencia. Si clicas y lo abres se instalara en segundo plano un software malicioso (tu no lo ves) y acto seguido comenzará a copiar todos tus archivos y procederá a enviarlos a través de la red a algún sitio donde después serán utilizarlos como anzuelo para otros tipos de Delitos.
Una vez descargada la copia de todos tus archivos, a continuación este software malicioso procede a encriptar todos los archivos de tu equipo, reiniciando el equipo y una vez iniciado solo podrás ver una pantalla en tu escritorio parecida a esta:


Esta pantalla te indica que si quieres recuperar tus datos tienes que seguir una serie de pasos para pagar, que generalmente no suelen cumplirlo. No podrás acceder a ningún archivo de tu equipo ya que se encuentran todos encriptados, y para desencriptarlos se requiere la clave de desencriptado que en teoría solo la tienen los malos.
Ese tipo de ataque suele dirigirse a empresas donde el archivo adjunto que no debes abrir, es una supuesta factura de la que se va a emitir el pago. Una vez abierto por algún empleado, se propaga muy rápido a todos los equipos conectados en la misma red, de empresa o de hogar, e infecta a todos los dispositivos de almacenamiento conectados a todos los equipos.
Todo este proceso sucede en varios minutos, incluso horas, dependiendo de la cantidad de archivos que tengas en tu equipo y del ancho de banda que tu conexión, ya que requiere un envío masivo de tus archivos a través de la Red y que posiblemente no te darás cuenta ya que como he comentado se ejecuta en segundo plano, si has recibido un correo y abierto algún archivo o enlace adjunto, y observas que tu equipo se ralentiza, sigue estos pasos:
1.- Desconecta lo de la red, quita el cable de la red, o desconecta el wifi, por donde te conectas habitualmente, desconecta te de los datos si te conectas a través de SIM, o cualquier otra conexión que te permita enviar o recibir datos a través de la red, de esta manera evitaremos el envío de nuestros datos.
2.- Apaga los equipos de la corriente eléctrica, posiblemente no deje apagar el equipo, el software está programado para enviar datos y encriptar, pero también resguardar este proceso, por lo que no te dejará apagarlo desde tu sistema operativo, desconecta los equipos de la red eléctrica directamente. Así impediremos la propagación del virus entre los equipos.
3.- Revisa los equipos conectados en red o de almacenamiento, si tienes mas equipos conectados en tu red, o USB de almacenamiento, discos externos, etc, es muy probable que estos equipos estén infectados aunque no lo parezca.
4.- Cambia contraseñas de todas tus cuentas de correo, redes sociales, banca online, y otros accesos que sueles utilizar habitualmente, ya que posiblemente han sido copiadas e intentarán utilizarlas. Comunica lo a tus mas allegados, suelen utilizar tus datos para contactar con tus contactos y continuar con el engaño.
Si has sido infectado y has seguido estos pasos, lo siguiente es llamar a un técnico especialista para que recupere tus datos. Es una faena un poco difícil pero existen herramientas gratuitas a disposición de todos en ESTE ENLACE.
Vamos a ver un ejemplo de un correo enviado recientemente:

Loading...

1.- Como podemos ver el correo electrónico que termina en .rs procede de Servia (como .es de españa) es un correo desconocido por lo que directamente no le tendríamos que hacer caso.
2.- En el cuerpo del mensaje, en ingles, hacer referencia a que esta es su factura y la cantidad, este correo en concreto va dirigido a una empresa, donde el administrador está acostumbrado a realizar transacciones internacionales a diario, por lo que es muy fácil caer en abrir el enlace.
3.- En este caso se trata de un enlace a una página web (el encabezamiento es http://). Probablemente este enlace lo que hace es ejecutar desde esta página un software que se instala a través del navegador en tu equipo, por esto es importante tener instalado un buen antivirus y activar la protección de navegador.
Si os surgen dudas podeis contactar, a traves de este blog o en la Fan Page de Facebook

Be the first to comment on "RANSOMWARE SIGUE ATACANDO"

Leave a comment

Your email address will not be published.