Las respuestas a las preguntas más relevantes sobre ransomware y el proyecto No More Ransom.
- 1989: El troyano 1989 AIDS (también conocido como «PC Cyborg»), escrito por Joseph Popp, es el primer ransomware conocido
- 2005: En mayo aparece el ransomware enfocado a la extorsión
- 2006: A mediados de 2006, gusanos como Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, y MayArchive empiezan a utilizar esquemas de cifrado RSA más complejos, incrementando el tamaño de las claves
- 2011: Aparece un gusano ransomware que imita el aviso de Activación de Productos Windows (Windows Product Activation)
- 2013: Entra en escena un gusano ransomware basado en el exploit kit Stamp.EK y un ransomware específico de Mac OS X. CryptoLocker consigue recaudar alrededor de $5 millones en los últimos cuatro meses del año
- 2015: Más variantes causan mayores daños en múltiples plataformas
Ransomware de cifrado
- Cifra archivos personales y carpetas (documentos, hojas de cálculo, imágenes y vídeos).
- Los archivos originales se borran una vez cifrados. Los usuarios normalmente se encuentran con un archivo de texto con las instrucciones para realizar el pago en la misma carpeta que los nuevos archivos inaccesibles.
- Es posible que sólo descubras el problema cuando intentes acceder a alguno de estos archivos.
- Algunos, pero no todos los tipos de software de cifrado, muestran una ‘pantalla de bloqueo’:
Lock Screen Ransomware — WinLocker
- Bloquea la pantalla del PC y solicita el pago.
- Muestra una imagen a pantalla completa que bloquea las otras ventanas.
- No cifra ningún archivo personal.
Master Boot Record (MBR) Ransomware
- El Master Boot Record (MBR) es la parte del disco duro del PC que permite iniciar el sistema operativo.
- El MBR ransomware modifica el MBR del PC para interrumpir el proceso de inicio del sistema.
- En su lugar, se presenta en pantalla una orden de rescate.
Ransomware de cifrado de servidores web
- Su objetivo son los servidores web y cifrar sus archivos.
- Normalmente se utilizan vulnerabilidades conocidas en los sistemas de gestión de contenido para desplegar ransomware en servicios web.
Ransomware de dispositivos móviles (Android)
- Los dispositivos móviles (principalmente Android) pueden infectarse mediante descargas no oficiales.
- También pueden infectarse mediante aplicaciones no oficiales que se hacen pasar por aplicaciones populares como Adobe Flash o antivirus.
No se recomienda pagar el rescate en ningún caso, principalmente porque no se garantiza obtener una solución al problema. Por ejemplo, puede haber errores en el malware que impidan recuperar los datos cifrados incluso con la clave correcta.
Además, con el pago del rescate, estás demostrando a los cibercriminales que el ransomware funciona. Como resultado, los cibercriminales continuarán su actividad y buscarán nuevas formas de vulnerar los sistemas, provocando más infecciones y más recaudación de dinero en sus cuentas.
Un ataque ransomware se despliega normalmente mediante un adjunto en un correo electrónico, que puede ser un ejecutable, un archivo o una imagen. Una vez que se abre el adjunto, el malware se despliega en el sistema del usuario. Los cibercriminales también pueden ocultar el malware en páginas web, infectando los dispositivos de los visitantes de estas páginas sin su conocimiento.
La infección no es evidente de inmediato para el usuario. El malware opera sigilosamente en segundo plano hasta que se despliega un sistema o un mecanismo de bloqueo de datos. Después aparece una ventana de diálogo que informa al usuario de que los datos se han bloqueado y solicita un rescate para desbloquearlo. Entonces ya es demasiado tarde para salvar los datos mediante medidas de seguridad.
Para más información, mira el siguiente vídeo:
Cualquier usuario o empresa puede ser víctima del ransomware. Los cibercriminales no son selectivos, y a menudo buscan infectar al mayor número de usuarios para obtener el mayor ingreso posible.
Sí, porque los cibercrimilanes saben que las organizaciones tienen más posibilidades de pagar debido a que los datos afectados suelen ser más sensibles y vitales para su continuidad. Además, puede que a veces sea más caro restaurar los datos mediante copias de seguridad que pagando el rescate.
El ransomware está en auge – hay más de 50 familias de este malware en circulación – y está evolucionando rápidamente. Con cada nueva variante se mejora el cifrado y se incorporan nuevas características. ¡Ésto no es algo que se pueda pasar por alto!
Una de las razones por las que es difícil encontrar una solución es debido a que el cifrado en sí no es dañino. Realmente es una buena herramienta y muchos programas legítimos la utilizan.
El primer malware criptográfico utilizaba un algoritmo de clave simétrica, con la misma clave para cifrar y descifrar. La información corrupta podía ser descifrada con éxito normalmente mediante la ayuda de compañías de seguridad. Con el tiempo, los cibercriminales empezaron a utilizar algoritmos de cifrado asimétricos que utilizan dos claves diferentes – una pública para cifrar los archivos, y una privada necesaria para el descifrado.
El troyano CryptoLocker es uno de los ransomware más famosos, que utiliza también un algoritmo de clave pública. Cuando un ordenador es infectado se conecta con un panel de control para descargar la clave pública. La clave privada sólo la tienen los criminales que escribieron el software CryptoLocker. Normalmente, la víctima no tiene más de 72 horas para pagar el rescate antes de que la clave privada se borre para siempre, y resulta imposible descifrar ningún fichero sin esta clave.
Así que lo primero que hay que tener en cuenta es la prevención. La mayoría de antivirus incluyen algún componente que ayuda a identificar el ataque de un ransomware en etapas tempranas de la infección, impidiendo la pérdida de información sensible. Es importante para los usuarios asegurar que esta funcionalidad está activada en el antivirus.
El proyecto No More Ransom acaba de empezar, pero estamos continuamente trabajando con otras compañías de seguridad y cuerpos policiales para identificar tantas claves como sea posible, para tantas variantes como sea posible. Si tienes alguna información que creas que pueda ayudar, por favor compártela con nosotros.
La herramienta Crypto Sheriff está diseñada para ayudar a definir qué tipo de ransomware está afectando a tu dispositivo. Ésto nos permitirá comprobar cuál es la mejor solución posible para el descifrado. Mira el siguiente vídeo para ver cómo funciona:
Es posible. A veces sólo tenemos un pequeño conjunto de claves, así que por favor continúa visitando el portal, puede que más claves se añadan en el futuro.
Es posible en los siguientes casos:
- Los autores de malware realizaron errores de implementación, haciendo posible romper el cifrado. Éste fue el caso del ransomware Petya y CryptXXX.
- Los autores de malware se sienten culpables por sus acciones y publican las claves, o una clave maestra, como en el caso de TeslaCrypt.
- La policía captura servidores con claves y las comparten. Un ejemplo es CoinVault.
A veces pagar el rescate también funciona, pero no existe garantía de que realizar el pago permita descifrar tus archivos. Además, con esta acción estás apoyando el modelo de negocio de los criminales y, en consecuencia, estás cooperando para que más gente se esté infectando con ransomware.
No es un secreto que el ransomware, que cifra los datos de usuarios del sistema y después solicita un rescate, se ha convertido en un enorme problema para la ciberseguridad en estos últimos años. Se ha expandido tanto que incluso se podría denominar una epidemia. El número de usuarios que se han visto atacados por ransomware es inmenso, con unos 718.000 usuarios afectados entre abril de 2015 y marzo de 2016: multiplicando su impacto por 5.5 veces comparado con el mismo periodo de tiempo en 2014-2015.
La policía no puede combatir el cibercrimen, y el ransomware en particular, por sí misma. Y los investigadores de seguridad no pueden hacerlo sin el soporte de las fuerzas del orden. La responsabilidad de combatir el ransomware está compartida entre la policía, el departamento de justicia, Europol y las compañías de seguridad IT, y requiere un esfuerzo conjunto.
No More Ransom es una iniciativa internacional que refleja la importancia de la cooperación público-privada cuando se toman acciones serias contra el cibercrimen. Esta colaboración va más allá de las fronteras geográficas. El principal objetivo del proyecto es compartir conocimiento y educar a los usuarios sobre cómo prevenir los ataques por ransomware. Creemos que esto conducirá en un futuro a ayudar a reparar el daño causado a las víctimas repartidas por todo el mundo. Mediante la recuperación del acceso al sistema, se está mostrando a los usuarios que se pueden tomar medidas y se puede evitar recompensar a los criminales con un rescate.
En su etapa inicial, el portal contenía cuatro herramientas de descifrado para distintos tipos de malware. Más se están añadiendo poco a poco. Todas las herramientas disponibles son gratis, y funcionarán para cualquier usuario infectado con la amenaza mencionada en el sitio web – independientemente de dónde estén ubicados en el mundo.