Noticias Tecnología — 21 marzo 2016

El ransomware (palabra en inglés que hace referencia a ransom de rescate, rescate en el contexto de pago de rescate ante un secuestro, y ware, de software) hace varios años que está instalado entre las amenazas que podemos encontrar en internet.
¿Que es el ransomware?, es un archivo malicioso (virus), que una vez ejecutado, encripta toda la información del usuario, archivos, carpetas, absolutamente todo, haciendo que el usuario no pueda acceder nunca más a éstos.
Una vez que completa su tarea, le presenta a su victima unas instrucciones desde un “wallpaper” o fondo de pantalla, indicándole que si quiere recuperar sus archivos, debe dirigirse a una dirección web, y realizar un pago.

Los pagos son a través de la red onion, y son en bitcoins (unos 400 dólares), asegurando así y preservando la identidad de estos criminales.
Hay dos ransomware famosos, el primero llamado Cryptolocker, y el segundo, que está atacando muchas empresas de Uruguay y el mundo, Locky.

Locky encripta todos los archivos de TODAS las unidades y los transforma en archivos .locky, además de todas las unidades de red, por lo que lo hace especialmente peligroso en un entorno de red, ya que puede comprometer TODOS los archivos de un fileserver.

Locky deja el siguiente mensaje en un TXT llamado _Locky_recover_instructions (Locky recover instructions) y en el protector de pantalla:

¡¡¡INFORMACIÓN IMPORTANTE!!!

Todos sus archivos están encriptados con RSA-2048 y los sistemas de cifrado AES-128.
Para más información sobre RSA consulte los siguientes enlaces:

http://es.wikipedia.org/wiki/RSA

http://es.wikipedia.org/wiki/Advanced_Encryption_Standard

La desencriptación de sus archivos es solo posible con una clave privada y un programa,
el cual está en nuestro servidor secreto.
Para recibir su clave privada de clic en uno de los siguientes enlaces:
1. http://xxxxxxxxxxxxxxxx
2. http://xxxxxxxxxxxxxxxx
3. http://xxxxxxxxxxxxxxxx

Si todos estos enlaces no están disponibles, siga los siguientes pasos:
1. Descargue e instale el Navegador Tor: https://www.torproject.org/download/download-easy.html
2. Después de una instalación exitosa, ejecute el navegador y espere la inicialización.
3. Introduzca en la barra de direcciones: xxxxxxxxxxxxxxxx
4. Siga las instrucciones en el sitio.

¡¡¡Su ID de identificación personal: xxxxxxxxxxxxxxxx!!!

Las X reemplazan las URL reales, las cuáles van cambiando.
Por supuesto, NO SE RECOMIENDA ENTRAR NI PAGAR BAJO NINGÚN MOTIVO.

¿Cómo funciona y se propaga?

Locky y los ransomware en general se propagan a través de correo electrónico, finge ser una factura, un fax, un estado de cuenta, o cualquier otra cosa que le suene al usuario real y confiable. Una vez que el usuario ejecuta el archivo adjunto infectado, que suele ser un archivo de Java Script .js, o un documento de Word o Excel con Macros (el cuál es un trojan downloader) éste baja un ejecutable y lo ejecuta sin que el usuario lo sepa, iniciando así su rutina de infección y encriptado.

¿Cómo puedo recuperar mis archivos?

En el caso del CryptoLocker, al ser un ransomware ya conocido, hay herramientas disponibles, por ejemplo esta de Kaspersky.
En el caso de Locky, al ser nuevo, lamentablemente no existe ninguna herramienta maravillosa, pero sí un posible camino, sin embargo hay que tener habilitados las recuperaciones del sistema de Windows, o también llamadas las “Shadow Copy”.

Locky suele destruir la carpeta “System Volume Information” que es donde se guardan precisamente todos los respaldos de los archivos, pero podemos recuperarlos fácilmente.

Lo primero que tenemos que hacer, es bajar dos herramientas:

1. ShadowExplorer
2. Recuva

Lo primero que tenemos que hacer, es ejecutar el ShadowExplorer para ver si logramos acceder a las copias de seguridad de los archivos, si podemos, entonces simplemente restauramos las mismas y listo, problema solucionado.
En el caso que el Shadow Explorer no logre encontrar copias de seguridad, lo segundo que tenemos que hacer es utilizar la herramienta “Recuva”, y recuperar el directorio completo System Volume Information, que seguramente fue borrado por Lucky.
Una vez recuperado, volvemos al paso uno, y recuperamos los archivos con el Shadow Explorer.

Seguramente en un futuro las grandes firmas de Antivirus saquen una herramienta, pero por ahora, la única solución es esta, y por supuesto ser siempre cuidadosos y no ejecutar ningún archivo que proceda de fuentes que no conozcamos.

Términos de búsqueda:

COMPARTIR ARTICULO

El Autor

Damian de Arce
Damian de Arce

Soñador, poeta, escritor, tecnólogo, loco, antiguo, romántico, muchas cosas se dicen de mí, prefiero catalogarme como un observador de la humanidad.