El ransomware y cómo solucionarlo

De -


La palabra ransomware viene de “ransom” o sea el rescate que se pide a cambio de regresar la información y "ware", como abreviación de software, que en este caso es un tipo de software malicioso o malware.
Image result for ransomware
Para entender este fenómeno hay que situarnos en el contexto que tienen los entornos digitales actualmente, descritos por varios fenómenos:

  • ·         Cada vez existen más usuarios de sistemas informáticos y estos se utilizan para procesar y almacenar información que tiene un valor crítico para las personas y organizaciones.
  • ·         Esta información al tener un valor para las personas y organizaciones es un motivante para un posible atacante que busque capitalizar el robo de la información.
  • ·         Para efectuar el robo de la información se requiere de recursos para sustraerla y almacenarla lo que significa la necesidad de inversión por parte del atacante.
  • ·         Con la popularización de técnicas de cifrado robusto, que es difícil de romper, para un atacante no es necesario extraer la información del equipo de la víctima, lo cual requeriría de mucho ancho de banda para extraer —por medio de internet— grandes cantidades de información, grandes cantidades de almacenamiento para depositar la información robada, igual uso de recursos para regresar la información en caso de pago del rescate, uso de tiempo para eliminar del equipo de la víctima de forma segura (ver artículo sobre borrado seguro), etcétera. Un atacante puede cifrar la información en el mismo equipo de la víctima, y al no ser recuperable, para fines prácticos es inaccesible para la víctima, como si se hubiera robado.
  • ·         La existencia de medios de pago que facilitan la anonimización de las transacciones, como Bitcoin y otras criptomonedas, hacen más difícil que se identifique y detenga a un atacante.
El ransomware tiene varias formas de instalarse en los equipos de las víctimas, en algunos casos llamado “contagio” o “infección” y al ser una de las formas más lucrativas y rápidas que tiene un atacante para monetizar su esfuerzo, podemos asumir que seguirán creciendo los métodos y estrategias de infección; desde ejecutar un archivo, habilitar las macros para ver un archivo de office con una supuesta factura pendiente de pago de CFE, scripts enviados para “optimizar” tu equipo, etcétera.
La forma más sencilla de evitar el ransomware es evitar instalar, ejecutar o abrir cualquier archivo o documento que no estemos seguros de dónde vino, o que esperamos recibir pero que no requiere instalar nada en nuestro equipo. Si hay algún documento que nos solicite instalar algo o hacer alguna modificación a nuestro sistema, es conveniente pensarlo dos veces y consultar con un especialista, pues lo más probable es que se trate de un engaño.

Qué hacer para evitarlo:

  • Mantener actualizado el sistema operativo y aplicaciones (aplicando parches y actualizaciones de seguridad del fabricante)
  • Evitar la ejecución e instalación de software no autorizado, de orígenes desconocidos o sin una licencia legítima
  • No abrir documentos de fuentes desconocidas, no permitir que un adjunto en un correo instale o ejecute programas en el equipo
  • Limitar los puertos y servicios abiertos e instalados a los mínimos indispensables

Aquí hay un par de guías del sitio Decent Security que pueden ayudarnos a configurar nuestros equipos con Windows de forma segura:
https://decentsecurity.com/#/holiday-tasks/
https://decentsecurity.com/securing-your-computer/

Otro elemento importante para contrarrestar el ransomware es contar con respaldos de nuestra información. En este caso es importante considerar que los respaldos en línea, por medio de herramientas en la nube como One Drive, Dropbox o Google Drive no son la mejor opción al respecto, ya que podrían sincronizarse con los archivos cifrados y por lo tanto perder la información. Por ello es recomendable utilizar respaldos en medios removibles, como un disco duro portátil, que podríamos dejar en nuestra casa u oficina y respaldar una vez a la semana. Esta temporalidad dependerá de qué tanto generemos nueva información y cuánto sea lo máximo que estamos dispuestos a perder. Si queremos evitar al máximo la pérdida habría que reducir este periodo.

Según un estudio de IBM (http://www-03.ibm.com/press/us/en/pressrelease/51230.wss ) las empresas han estado más dispuestas a pagar por la recuperación de sus archivos que los particulares, posiblemente por contar con seguros y otras coberturas que amparen los gastos del rescate. Aunque cabe mencionar que hay algunos casos donde han pagado el rescate y aun así no se ha recuperado la información. La recomendación general es no pagar el rescate, pues hacerlo vuelve redituable para los criminales ese negocio, fomentando que sigan los ataques, además de que como ya mencionamos, no hay garantía de recuperar la información.

Algunas autoridades han logrado incautar los equipos de algunos de estos delincuentes y han hecho públicas las llaves de cifrado de distintas versiones de malware, así que esta es otra opción para recuperar la información, solo hay que identificar el nombre del ransomware que ha afectado el equipo y la versión, ya que hay casos en los que se han generado varias generaciones del mismo ransomware y que tienen algunas características distintas.

Para recuperar los archivos hay varios métodos que hay que probar. No existe una solución única pero aquí hay algunas sugerencias:

  • -          Antes que nada, hay que eliminar el malware del equipo, tu antivirus actualizado podrá ayudarte con esto;
  • -          Utilizar el respaldo más reciente, con ello podemos recuperar gran parte de la información, el resto habrá que evaluar cuánto tiempo nos tomará tratar de recuperarlo contra el tiempo que nos tomaría rehacerlos nuevamente;
  • -          Revisar si existen publicadas llaves de cifrado por parte de las autoridades o investigadores, lo que hará posible descifrar los archivos utilizando la clave correspondiente;
  • -          Existe ransomware que cifra el disco completo y no deja entrar al sistema operativo, pero la mayoría cifra los archivos de forma individual, por lo que si tenemos algún archivo respaldado que podamos comparar con el archivo cifrado, utilizando algunas herramientas como se muestra a continuación, así podremos obtener la llave de cifrado y recuperar los datos.
Varias organizaciones se han unido para crear el sitio https://www.nomoreransom.org/ en el que encontramos varias soluciones para contrarrestar un ransomware; a continuación, explicaré algunos de los métodos.

En la sección https://www.nomoreransom.org/crypto-sheriff.php podremos identificar el tipo de ransoware que nos atacó, esto se efectúa subiendo un par de archivos cifrados por el ransomware para que la herramienta los identifique. Este sitio también permite subir el texto que muestra el ransomware, copiándolo y pegándolo para con ello identificar el ataque.
Una vez identificado podremos utilizar las herramientas para descifrar que proporciona la página. Al momento de escribir este artículo (diciembre de 2016) están listados con soluciones conocidas los siguientes ransomware:

  • ·         CRYSIS MARSJOKE/POLYGLOT
  • ·         WILDFIRE
  • ·         CHIMERA
  • ·         TESLACRYPT
  • ·         SHADE
  • ·         COINVAULT
  • ·         RANNOH
  • ·         RAKHNI
En la liga https://www.nomoreransom.org/decryption-tools.html podremos encontrar varias herramientas generadas por distintos fabricantes como Kaspersky Lab e Intel. Cada una de ellas cuenta con una guía fácil de cómo ejecutar el proceso y nos lleva paso a paso para recuperar la información. Cada una de las herramientas funciona para un tipo de ransomware y sus variantes, así que es importante primero la identificación para elegir la herramienta correcta.

Aquí la lista completa de las herramientas disponibles y los tipos de ransomware que pueden descifrar:

Herramienta
Puede descifrar
Ligas de descarga
Guías para utilización
Rannoh Decryptor (updated 20-12-2016 with CryptXXX v3)
CryptXXX versions 1, 2 and 3.
Marsjoke aka Polyglot;
Rannoh;
AutoIt;
Fury;
Crybola;
Cryakl;
DESCARGAR
Herramienta de Kaspersky Lab
how-to guide
WildFire Decryptor
Wildfire
DESCARGAR
Herramienta de Intel Security
DESCARGAR
Herramienta de Kaspersky Lab
how-to guide
Chimera Decryptor
Chimera
DESCARGAR
Herramienta de Kaspersky Lab
how-to guide
Teslacrypt Decryptor
TeslaCrypt v3 y v4
DESCARGAR
Herramienta de Intel Security
DESCARGAR
Herramienta de Kaspersky Lab
how-to guide
Shade Decryptor
Puede descifrar archivos con las siguientes extensiones:
.xtbl, .ytbl, .breaking_bad, .heisenberg.
DESCARGAR
Herramienta de Intel Security
DESCARGAR
Herramienta de Kaspersky Lab
how-to guide
CoinVault Decryptor
Coinvault
Bitcryptor.
DESCARGAR
Herramienta de Kaspersky Lab
how-to guide.
Rakhni Decryptor (updated 14-11-2016)
Crysis;
Chimera;
Rakhni;
Agent.iih;
Aura;
Autoit;
Pletor;
Rotor;
Lamer;
Lortok;
Cryptokluchen;
Democry;
Bitman (TeslaCrypt) version 3 y 4.
DESCARGAR
Herramienta de Kaspersky Lab
how-to guide
Jigsaw Decryptor
Jigsaw Ransomware
DESCARGAR
Herramienta de Check Point
how-to guide
Trend Micro Ransomware File Decryptor
CryptXXX V1, V2, V3*
CryptXXX V4, V5
Crysis
TeslaCrypt V1**
TeslaCrypt V2**
TeslaCrypt V3
TeslaCrypt V4
SNSLocker
AutoLocky
BadBlock
777
XORIST
XORBAT
CERBER V1
Stampado
Nemucod
Chimera
LECHIFFRE
MirCop
Jigsaw
Globe/Purge
DXXD
Teamxrat/Xpan
Crysis
DemoTool
DESCARGAR
Herramienta de Trend Micro
how-to guide
Emsisoft NMoreira Decryptor
NMoreira
DESCARGAR
Herramienta de Emsisoft
how-to guide
Emsisoft Ozozalocker Decryptor
Ozozalocker
DESCARGAR
Herramienta de Emsisoft
how-to guide
Emsisoft Globe Decryptor
Globe
DESCARGAR
Herramienta de Emsisoft
how-to guide
Emsisoft Globe2 Decryptor
Globe2
DESCARGAR
Herramienta de Emsisoft
how-to guide
Emsisoft FenixLocker Decryptor
FenixLocker
DESCARGAR
Herramienta de Emsisoft
how-to guide
Emsisoft Philadelphia Decryptor
Philadelphia
DESCARGAR
Herramienta de Emsisoft
how-to guide
Emsisoft Stampado Decryptor
Stampado
DESCARGAR
Herramienta de Emsisoft
how-to guide
Emsisoft Xorist Decryptor
Xorist
DESCARGAR
Herramienta de Emsisoft
how-to guide
Emsisoft Nemucod Decryptor
Nemucod
DESCARGAR
Herramienta de Emsisoft
how-to guide
Emsisoft Gomasom Decryptor
Gomasom
DESCARGAR
Herramienta de Emsisoft
how-to guide
Linux.Encoder Decryptor
Linux.Encoder.1
Linux.Encoder.3
DESCARGAR
Herramienta de BitDefender
DESCARGAR
Herramienta de BitDefender
how-to guide
how-to guide


El ransomware evoluciona rápido. Recientemente se han visto ataques que ofrecen brindar las llaves de cifrado para recuperar la información a cambio de que infectes a conocidos. Para el siguiente año existen varias predicciones que prevén que habrá más formas de ransoware y que los ataques serán cada vez más sofisticados, algunos dirigidos a determinado perfil y con posibilidad de evolucionar de forma atomática (http://mobile.itbusinessedge.com/blogs/data-security/expect-an-evolution-in-ransomware-in-2017.html).
Como en todo, la prevención es la mejor opción, por lo que contar con buenas prácticas para navegar en Internet, no utilizar software de dudosa procedencia, contar con un antivirus que pueda detectar los tipos de ransomware más conocidos y realizar respaldos frecuentes, son las mejores alternativas para evitar pérdidas de información.

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más