Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TAREA
RANSOMWARE
Código: 155186
Cusco - Perú
2020
RANSOMWARE
Una vez que un ordenador o una red están infectados con ransomware, el malware
bloquea el acceso al sistema o cifra los datos de dicho sistema. Los cibercriminales
exigen que las víctimas paguen un rescate para que puedan recuperar el acceso a
su ordenador o a sus datos.
1. Distribución
La forma más común de diseminación de malwares es a través del phishing.
Por lo general, dentro del área de la ingeniería social, donde el delincuente
busca identificar páginas o cualquier información que pueda conducir a la
víctima a acceder al enlace fraudulento, al adjunto de correo electrónico o a
un archivo descargable que contiene el virus.
No sólo sucede por correo electrónico, hay muchos anuncios en sitios web,
aplicaciones y software para descargar y, en casos extremos, pen drives que
los delincuentes dejan en lugares estratégicos o los llevan a las empresas
con alguna excusa para que alguien los abra.
Aunque ya sea muy bien conocida por todos, esta técnica es eficiente, pues
utiliza como anzuelo la curiosidad y la credulidad de las personas. Una de
cada cuatro personas abre mensajes de phishing, siendo que una de cada
diez, además de abrir, todavía accede a los enlaces, adjuntos y archivos
infectados presentes.
2. Infección
A partir de este momento en que se accede al archivo o al enlace infectado,
el código que lleva el malware se inserta en la computadora, dando inicio a
procesos obligados para completar las actividades maliciosas. Este es el
paso que varía en función al malware ejecutado, el cual puede producirse en
el momento de actualizar o apagar la máquina, al abrir un programa
específico en la computadora o en cualquier otra circunstancia.
Es a partir de esta acción que el código entra en actividad, desactivando
copias y sistemas de reparación y recuperación de errores, programas de
defensa y otros.
3. Comunicación
Una vez activo, el malware comienza a comunicarse con los servidores de
clave de cifrado, obteniendo la clave pública que permite que los datos de la
víctima sean encriptados. Es en estos servidores donde se almacenan los
códigos para cambiar los archivos. Ellos empiezan a trabajar desde el
momento en que se conecta el malware.
4. Búsqueda de archivos
El ransomware realiza una exploración sistemática en la computadora de la
víctima buscando archivos de sistema específicos, que sean importantes
para el usuario y que no se puedan replicar fácilmente, como es el caso de
los archivos con extensión .jpg, .docx, .xlsx, .pptx y .pdf.
5. Cifrado
Es en esta etapa que se lleva a cabo el proceso de mover y renombrar los
archivos identificados en el paso anterior, mezclando la información para que
el sistema de la computadora del usuario ya no pueda proporcionarle acceso
al usuario, siendo ahora necesario desencriptarlos para poder recuperarlos.
6. Pedido de rescate
En general, primero aparece un aviso en la pantalla de la computadora
infectada. Es por este medio que el hacker avisa que ha secuestrado los
datos y que sólo los devolverá si el usuario realiza el pago de un rescate.
Después que se realiza el pago, el cibercriminal le envía a la víctima la clave
de cifrado que desbloqueará la computadora.
2. Reveton
En 2006 hubo una especie de "resurgir" del ransomware con Archievus, que
introdujo como novedad el cifrado asimétrico y cifraba sólo la carpeta Mis
Documentos, pidiendo como rescate compras en ciertos sitios web. Sin
embargo, no sería hasta 2012 que no llegaría Reveton, la primera gran
amenaza.
3. CryptoLocker
Septiembre de 2013 es un mes importante en la historia del ransomware. En
estas fechas nacía CryptoLocker, el primer malware que se extendió a través
de descargas desde webs comprometidas, o que se envió a negocios como
un archivo adjunto en un correo electrónico de supuestas quejas de clientes.
4. Jigsaw
El ransomware Jigsaw era un caso algo particular, ya que colocaba al
personaje de la saga Saw en la pantalla emitiendo la nota de rescate para la
máquina infectada. También amenazaba con borrar un archivo cada hora si
el rescate no se pagaba. Además, si la víctima intentaba parar el proceso o
reiniciar el ordenador, entonces borraba 1.000 ficheros.