www.miinformatico.eu info@miinformatico.

eu

miinformatico.eu

URGENTE-URGENTE-URGENTE-URGENTE-URGENTE
El Virus CRYPTOLOCKER. Riesgos y prevencin. Octubre de 2013
RESUMEN: Lee esto. Se est propagando un virus informtico contra el que no hay cura. Si afecta a tu ordenador, te quedas sin los datos. Como suena, PIERDES TODO! Existe la posibilidad de pagar un rescate, pero como siempre en estos casos, sin garantas, y sin la certeza de no volver a sufrirlo en unos meses. Si entra en una red (incluidas las domsticas), afecta a todos los ordenadores, por lo que si alguien en tu organizacin u hogar resulta infectado, casi seguro que el resto tambin resultar afectado. La informacin a continuacin puede hacer que puedas evitarlo, o estar preparado para cuando el desastre te afecte, y las probabilidades son muy altas.
A principios de 2013 tuvimos noticias acerca de nuevas variantes de ransomware (programas que "secuestran" tus datos y despus piden rescate). Estos programas han ido refinando sus estrategias y se han hecho muy efectivos. En estos momentos, una de las peores amenazas es Cryptolocker, programa que espa tus archivos y los encripta fuertemente, para despus pedir una suma de dinero como rescate. Este virus es distribuido en los paquetes conocidos como exploits kits, que se infiltran en las computadoras a travs de vulnerabilidades de seguridad en sistemas no actualizados (o pirateados). La forma ms comn es usando ingeniera social, a travs de mensajes de email que nos invitan a hacer clic en un vnculo o a ejecutar un determinado programa, pero tambin se propagan a travs de sitios web maliciosos, o por medio de bsquedas engaosas (como aquellas que nos llevan a sitios warez cuando buscamos mp3s o programas piratas), sitios de descarga de msica, pelculas, o porno, y sitios de pelculas y series online, y botones de descarga falsos.

Modo de funcionamiento Este ransomware escanea todas las unidades de red local conectadas a tu equipo. Despus de infiltrarse Cryptolocker encripta los archivos con las siguientes extensiones: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, entre otros. Esta lista no es completa. Claramente la amenaza mayor es para las empresas, pues aunque se atacan archivos comunes (fotos, documentos, msica, videos), al analizar los tipos de archivo afectados podemos encontrar hojas de calculo, archivos de correo, grficos generadas por computador, bases de datos y otros. Desafortunadamente, una vez que el encriptado ha sido llevado a cabo, el desencriptado solo es posible teniendo ambas llaves de encriptado (pblica y privada), Si bien la llave pblica es generada por la propia computadora vctima (y en teora sera posible reconstruirla), la llave privada nunca deja los servidores de los criminales, dejandola fuera del alcance de cualquiera (excepto del secuestrador). Sin la llave privada (en manos de los secuestradores) no podremos recuperar los datos. Al finalizar el encriptado aparece una pantalla como la siguiente, en la que se demanda una suma de USD$100, USD$300 o incluso EUR$300 para desbloquear la computadora y desencriptar los archivos. Los cibercriminales solicitan el pago a travs de Ukash, cashU, MoneyPak o Bitcoin. Si el dinero no es pagado en el plazo sealado, la contrasea de desencriptado es eliminada de los servidores de Cryptolocker, haciendo imposible la recuperacin de los archivos. Tambin amenazan con que "cualquier intento por remover o daar este programa llevar a la inmediata destruccin de la llave privada en el servidor".

Nota importante, si modificamos la ubicacin o manipulamos el sistema de archivos, intentado reparar el dao, lo mas probable es que ni pagando el rescate podamos recuperar los datos. Es muy importante tener en cuenta que diversos estudios ( IBM, Chubb, AXA, Fema...) calculan que entre el 70% y el 80 % de las empresas que sufren una perdida catastrfica de datos ( perdida generalizada, y sin copias de seguridad recientes) cierran en los 18 meses posteriores! Que sucede si pago el "rescate"? Realizar el pago es enviar dinero a cibercriminales, y no existe ninguna garanta de que los archivos sern desencriptados, aunque segn algunos sitios web, se han conocido casos en los que efectivamente se han recuperado los datos despus de realizar el pago. Por supuesto que aun despus de realizado el pago, es posible la re-infeccin, por lo que recomendamos reformatear y reinstalar todo de nuevo desde cero. Existe alguna otra forma de quitar el virus y recuperar mi informacin? Eliminar el virus es relativamente sencillo y existen muchos tutoriales para ello en Internet. Sin embargo, a pesar de que prcticamente todos los fabricantes de antivirus estn buscando una solucin, hasta la fecha (Octubre de 2013), no existe forma de desencriptar los datos sin ambas llaves. Podemos quitar el virus pero no recuperar los datos. Que puedo hacer para prevenir la prdida de mi informacin?

Basicamente, la nica forma segura es mantener un respaldo fsico o virtual, fuera de lnea. No hay otra por ahora. En cuanto nos ataque el virus, formateo y restauracin de la copia.