UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO

FACULTAD DE INGENIERÍA ELÉCTRICA, ELECTRÓNICA, INFORMÁTICA Y

MECÁNICA

ESCUELA PROFESIONAL DE INGENIERÍA INFORMÁTICA Y DE SISTEMAS

TAREA

RANSOMWARE

Asignatura: Seguridad Control y Auditoría de Sistemas de Información

Docente: Ing. Willian Zamalloa Paro

Alumno: Alarcon Mamani, Jhon Alfred

Código: 155186

Cusco - Perú

2020
 RANSOMWARE

El ransomware es un tipo de malware (software malicioso) que los cibercriminales

utilizan para obligar a las personas a pagar un rescate.

Un ataque ransomware es aquel cuyo objetivo es una persona u organización. Se

puede propagar a los ordenadores a través de archivos adjuntos o enlaces incluidos
en correos electrónicos de phishing, a través de sitios web infectados mediante una
descarga oculta o a través de dispositivos USB infectados.

Una vez que un ordenador o una red están infectados con ransomware, el malware
bloquea el acceso al sistema o cifra los datos de dicho sistema. Los cibercriminales
exigen que las víctimas paguen un rescate para que puedan recuperar el acceso a
su ordenador o a sus datos.

LAS FASES DEL RANSOMWARE

1. Distribución
La forma más común de diseminación de malwares es a través del phishing.
Por lo general, dentro del área de la ingeniería social, donde el delincuente
busca identificar páginas o cualquier información que pueda conducir a la
víctima a acceder al enlace fraudulento, al adjunto de correo electrónico o a
un archivo descargable que contiene el virus.
No sólo sucede por correo electrónico, hay muchos anuncios en sitios web,
aplicaciones y software para descargar y, en casos extremos, pen drives que
los delincuentes dejan en lugares estratégicos o los llevan a las empresas
con alguna excusa para que alguien los abra.
Aunque ya sea muy bien conocida por todos, esta técnica es eficiente, pues
utiliza como anzuelo la curiosidad y la credulidad de las personas. Una de
cada cuatro personas abre mensajes de phishing, siendo que una de cada
diez, además de abrir, todavía accede a los enlaces, adjuntos y archivos
infectados presentes.

2. Infección
A partir de este momento en que se accede al archivo o al enlace infectado,
el código que lleva el malware se inserta en la computadora, dando inicio a
procesos obligados para completar las actividades maliciosas. Este es el
paso que varía en función al malware ejecutado, el cual puede producirse en
el momento de actualizar o apagar la máquina, al abrir un programa
específico en la computadora o en cualquier otra circunstancia.
Es a partir de esta acción que el código entra en actividad, desactivando
copias y sistemas de reparación y recuperación de errores, programas de
defensa y otros.
 3. Comunicación
Una vez activo, el malware comienza a comunicarse con los servidores de
clave de cifrado, obteniendo la clave pública que permite que los datos de la
víctima sean encriptados. Es en estos servidores donde se almacenan los
códigos para cambiar los archivos. Ellos empiezan a trabajar desde el
momento en que se conecta el malware.

4. Búsqueda de archivos
El ransomware realiza una exploración sistemática en la computadora de la
víctima buscando archivos de sistema específicos, que sean importantes
para el usuario y que no se puedan replicar fácilmente, como es el caso de
los archivos con extensión .jpg, .docx, .xlsx, .pptx y .pdf.

5. Cifrado
Es en esta etapa que se lleva a cabo el proceso de mover y renombrar los
archivos identificados en el paso anterior, mezclando la información para que
el sistema de la computadora del usuario ya no pueda proporcionarle acceso
al usuario, siendo ahora necesario desencriptarlos para poder recuperarlos.

6. Pedido de rescate
En general, primero aparece un aviso en la pantalla de la computadora
infectada. Es por este medio que el hacker avisa que ha secuestrado los
datos y que sólo los devolverá si el usuario realiza el pago de un rescate.
Después que se realiza el pago, el cibercriminal le envía a la víctima la clave
de cifrado que desbloqueará la computadora.

RANSOMWARE COMO SERVICIO (Raas)

En el pasado, sólo aquellos con fuertes habilidades técnicas podían ejecutar un

ataque de ransomware exitoso, pero Ransomware-as-a-Service ha cambiado todo
eso gracias a la proliferación de kits de ransomware fáciles de usar, que contienen
todo lo que uno podría necesitar para lanzar un exitoso ataque de ransomware.

Estos kits generalmente se alojan en portales enterrados en la Web Oscura, donde

los compradores pueden implementar “con seguridad” el ransomware lejos de
miradas indiscretas. Muchos kits RaaS no requieren ningún costo inicial para su uso
o implementación; en cambio, el autor recibe una comisión (típicamente del 20-40%)
de cualquier ganancia ilegal, convirtiendo RaaS, para todos los efectos, en un
esquema de afiliación. Esto lo convierte en un modelo de negocio lucrativo para
compradores y autores de ransomware, ya que ambas partes pueden sacar
provecho del ransomware de forma continua.
4 CASOS MÁS FAMOSOS DE VÍCTIMAS

1. AIDS Trojan, el primer ransomware

El primero de todos ellos data de 1989. Nos referimos a AIDS Trojan, creado
por el ingeniero Joseph L. Popp.

El virus se distribuyó a través de 20.000 disquetes infectados a los

comparecientes a las conferencias de la Organización Mundial de la Salud
sobre el SIDA. Su principal arma era la criptografía simétrica, y no llevó
mucho tiempo descifrar los nombres de los archivos para recuperarlos.

2. Reveton
En 2006 hubo una especie de "resurgir" del ransomware con Archievus, que
introdujo como novedad el cifrado asimétrico y cifraba sólo la carpeta Mis
Documentos, pidiendo como rescate compras en ciertos sitios web. Sin
embargo, no sería hasta 2012 que no llegaría Reveton, la primera gran
amenaza.

Este malware tuvo presencia por todo el mundo, infectando millones de

máquinas y haciéndose pasar por un aviso de los cuerpos de seguridad de
cada país. Sí, nos estamos refiriendo al "Virus de la Policía". En 2014 Avast
informaba de que Reveton había evolucionado, en esta ocasión también
robando las contraseñas de los usuarios.

3. CryptoLocker
Septiembre de 2013 es un mes importante en la historia del ransomware. En
estas fechas nacía CryptoLocker, el primer malware que se extendió a través
de descargas desde webs comprometidas, o que se envió a negocios como
un archivo adjunto en un correo electrónico de supuestas quejas de clientes.

4. Jigsaw
El ransomware Jigsaw era un caso algo particular, ya que colocaba al
personaje de la saga Saw en la pantalla emitiendo la nota de rescate para la
máquina infectada. También amenazaba con borrar un archivo cada hora si
el rescate no se pagaba. Además, si la víctima intentaba parar el proceso o
reiniciar el ordenador, entonces borraba 1.000 ficheros.

En Bleeping Computer se preguntaron si, dada la cantidad demandada

(variaba entre 20 y 200 dólares) y la forma de presionar al usuario, si este
malware sería un juego para sus creadores. Cuando una máquina se
infectaba con este ransomware, además de ver al personaje ya citado,
aparecía un contador de 60 minutos para pagar el rescate.