Está en la página 1de 65

RANSOMWARE

PRESENTADO POR:

 ARROYO LAIMITO KENNYO FERMÍN


 LIMACHE IGNACIO RUBÉN ANTONNY
 ORÉ SUÁREZ EVA MARINA
 RAYMUNDO VIVAR ARNOLD
 VELI DE LA CRUZ JOSE
SECUESTRO
Código
Malicioso
Exigen al
usuario el
pago por el
secuestro
Información
importantes o
que afectan el
funcionamiento
del equipo
Propagación

Archivos adjuntos
en correos
electrónicos no
deseados

Clic en un vínculo
que asegura venir de
un Banco o empresa
de mensajería.
A través de
redes para
compartir como
P2P
Se hacen pasar
por claves de
activación
TIPOS
FILECODER

cifra
LOCKSCREEN

Bloquea el
equipo e
impide que
los uses
hasta pagar
el RESCATE
Usa trucos psicológicos

PAGAR
A veces
incluye la
transmisión
en vivo de
lo que la
cámara web
de equipo
está viendo.
Sensación de Vigilia
Simula Aviso Policial

multa
Pornografía Software pirata

Sitios web
ilegales
¿PAGAR?
RANSOMWARE
DEFINICIÓN
 Es un malware que se instala sigilosamente en el sistema operativo y bloquea
el acceso a tus datos y en algunos casos a las funciones del sistema operativo.
Para volver a tener acceso a los datos, los cibercriminales solicitan el pago de
un rescate, y de esta manera liberan una llave de descifrado de tus datos. Si
el rescate no es pagado en el tiempo establecido, los datos no podrán ser
recuperados y en algunos casos el monto del rescate va en aumento. Sobre el
85% de los casos en que se ha pagado el rescate se han recuperado los datos,
sin embargo, en el 15% restante a pesar de haber pagado, las llaves no sirven
debido a varios motivos, tales como: el tiempo del pago del rescate ya se ha
sobrepasado, el equipo presentó una falla, el software de recuperación no
sirve, el aplicativo del rescate está en otro idioma, etc.
 El programa de ransomware muestra un mensaje que exige pago para
restaurar la funcionalidad. El malware, en efecto, retiene el rescate de la
computadora. En otras palabras, el ransomware es una raqueta de extorsión.
La estafa ha evolucionado con el tiempo, utilizando varias
técnicas para deshabilitar una computadora. La evolución más
reciente bloquea la pantalla del equipo y no permite que el
usuario acceda a ningún programa. La computadora luego
muestra un mensaje que dice ser de una rama de la policía local.
Por lo general, los mensajes son algo así como "Usted ha visto
materiales ilícitos y debe pagar una multa". Los logotipos
policiales se utilizan para dar al mensaje un aire de autenticidad.
Muchas personas pagan, ya sea porque creen en los mensajes o
porque se dan cuenta de que es una estafa pero que aún desean
restaurar el acceso a su computadora. Desafortunadamente,
incluso si una persona paga, los estafadores a menudo no
restauran la funcionalidad. La única forma confiable de restaurar
la funcionalidad es eliminar el malware.
¿QUIÉNES PODRÍAN SER VÍCTIMAS DE
RANSOMWARE?

 Para los cibercriminales esto es un negocio que les retorna un ingreso anual
individual cercano a los US$100.000. Ellos están en constante búsqueda de
nuevas técnicas y tácticas para no ser detectados, y también de obtener
mayores ganancias a través de la exploración de nuevos tipos de víctimas. Por
un lado, atacan a individuales que dependen de las informaciones digitales
para que su negocio opere; acá encontramos por ejemplo a Youtubers,
Gamers, Vloggers, Tutorials y otros que dependen de los archivos de videos
para recibir un sueldo; y por otro lado buscan como blancos a los
colaboradores clave dentro de las empresas. Últimamente se ha visto un
nuevo tipo de blanco que son las empresas, enviando un ransomware que
poseen comportamiento de tipo gusano; esto implica que basta un usuario
infectado dentro de la empresa para infectar y bloquear el acceso a todos los
equipos, datos, aplicaciones y funciones de la red.
¿CUÁLES SON LOS SÍNTOMAS DE UN ATAQUE?

 En un ataque de ransomware, el blanco son tus archivos de office, tus fotos,


videos, archivos de música y en general todo tipo de información que puede
llegar a ser invaluable. Los síntomas que van a advertir que fuiste víctima de
ransomware son:
BLOQUEO DEL SISTEMA

 La manera más antigua de actuar es la de extorsionar a la víctima para que


realice un pago a cambio de que se levante el bloqueo del sistema. Un
ejemplo muy claro es el del malware conocido como “Reveton” o “Virus de la
policía” que, en el caso de la imagen, se hace pasar por la policía mexicana,
pero variara dependiendo del país en el que se encuentre la víctima. En este
caso puntual la excusa para extorsionar a la víctima pasa por notificarle en
nombre de la policía que deberá pagar una multa por compartir piratería.
CIFRADO DE INFORMACIÓN

 Aplicando conceptos de criptografía avanzada como RSA 2048, la famosa


campaña de CTB- Locker fue capaz de cifrar gran cantidad de extensiones de
archivos y operar en varios idiomas, asegurándose que la víctima no tendría
problemas en comprender el mensaje. Asímismo, explica paso a paso como
entrar a la Deep web para hacer el pago de la extorsión.
BLOQUEO Y CIFRADO DEL SISTEMA

 Durante los últimos meses se mencionó mucho a un código malicioso que se


parecía a una segunda variante de Petya. Se trata de un ransomware
altamente propagado similar a Petya que cifra la información e intenta cifrar
también el registro principal de arranque (Master Boot Record), bloqueando
de esto modo el sistema operativo.
BLOQUEO Y MALWARE QUE “HABLA” PARA
PEDIR EL RESCATE

 ¿Un malware parlante? Pareciera una broma, ya que no hablamos de una


película de ciencia ficción sino de una amenaza real. Se trata de un miembro
de la familia de ransomware Jisut, más específicamente
Android/LockScreen.Jisut, el cual demostró recientemente estas “habilidades
lingüísticas” al exigir un pago por el desbloqueo del equipo.
CIFRADO Y ROBO DE INFORMACIÓN O
BILLETERAS VIRTUALES

 Cerber, uno de los ransomware más conocidos, se ha vuelto más dañino al


agregar la capacidad de robar billeteras de Bitcoin, además de su capacidad
de cifrar los archivos y exigir el pago de un rescate para recuperarlos.
EXTORSIÓN DE FUGA DE INFORMACIÓN

 En varios medios se han publicado casos donde se infecta a la víctima


mediante un código malicioso que extorsiona a víctimas con publicar fotos
privadas o íntimas. Sin ir más lejos, la clínica Grozio Chirurgija, ubicada en
Lituania fue víctima del robo de 25.000 imágenes y algunos datos privados de
los pacientes, tales como el número de pasaporte o incluso la referencia del
seguro. Con toda esta información, los ciberdelincuentes trataron de
comerciar con ellos para sacar beneficios económicos, pero al no obtener
respuesta, decidieron divulgar las fotos privadas en la red.
RANSOMWARE PUBG

 Una muestra detectada por ESET como MSIL/Filecoder.HD– cifra los archivos y
carpetas ubicados “solamente” en el escritorio del usuario y les agrega la
extensión .PUBG. Luego, se despliega una imagen en la pantalla que contiene
un mensaje de rescate donde se indica que para poder liberar los archivos de
la víctima, todo lo que quiere este ransomware benigno es que el usuario
dedique una hora a jugar al PlayerUnknown’s Battlegrounds, más conocido
como PUBG.
PAGO CON FOTOS INTIMAS

 Este especial código malicioso llamado nRansom exigue como modo de pago
fotos desnudas de la víctima. Independientemente quien sea la víctima,
nunca será rentable entregar este tipo de información a la Deep web.
RANSOMWARE APUNTADO A IOT

 Siendo Android la plataforma más atacada en dispositivos móviles, no debería


sorprendernos que aquellos dispositivos de IoT que comparten un sistema
operativo similar también lo sean. En este sentido, para evitar que suceda lo
que se observa en la siguiente imagen es recomendable implementar una
solución de seguridad en tus dispositivos inteligentes, como tu Smart Tv.
RANSOMWARE APUNTADO A DISPOSITIVOS
MÓVILES O TABLETS

 El ransomware conocido como DoubleLocker es un malware que funciona en


dos etapas. En primer lugar, trata de vaciar tu cuenta bancaria o de PayPal, y
en una segunda instancia bloquea tu dispositivo e información para solicitar el
pago del rescate. La primera vez que vimos una versión de prueba activa de
un ransom-banker de este tipo fue en mayo de 2017. Además, DoubleLocker
es capaz de cambiar el PIN del dispositivo, evitar que las víctimas accedan al
mismo, así como también cifrar la información que se encuentra en él; sin
dudas una combinación singular en el ecosistema Android.
FUNCIONAMIENTO

 Los piratas informáticos explotan las debilidades de Internet para tomar el


control de los ordenadores. Consultar una página web infectada, abrir un
archivo adjunto en un correo electrónico, reproducir un archivo de vídeo,
actualizaciones de sistemas o de programas que parecen en principio fiables
son las puertas por las que este software malicioso puede infectar en
segundos un equipo informático.
 El 'ransomware' funciona como un troyano o gusano. Cuando se instala, no hay
una carga viral en el programa hasta que el ransomware se activa y cifra la
información y provoca el bloqueo de todo el sistema operativo, aunque en
ocasiones también puede propagarse el virus sin intervención humana.
 En ese momento, lanza un mensaje de advertencia con la amenaza y pide un
rescate para recuperar toda la información (300 dólares, en el caso del nuevo
ciberataque masivo). A menudo, el usuario debe enviar un SMS para obtener
un código de desbloqueo.
Historia de RANSOMWARE

Los ataques de ransomware no son una falsa amenaza, son reales y aumentan
día a día. Las siguientes conclusiones sobre la historia del ransomware lo
pueden ayudar a entender la evolución de sus estrategias de entrega y
extorsión para estar mejor preparado en caso de ser víctima de un ataque.
Creemos que punto de
inicio de la historia del
El ransomware fue usado
Creación
ransomware es el troyano
AIDS de 1989, también en la conferencia WHO
conocido como troyano AIDS en Montreal,

AIDS
PC Cyborg, desarrollado 20.000 copias en total.
por el Dr. Joseph Popp, El malware de Popp
un biólogo evolucionista. escondía los archivos en
Este ransomware de la computadora de la
primera generación no víctima y cifraba los
era nada sofisticado y nombres de los archivos
muy fácil de derrotar. Se antes de exigir (o
entregaba a través de extorsionar) $189 por una
herramienta de
reparación.
Actualidad
Cerca de 30 años después, el ransomware es una
amenaza mucho más maliciosa. Como una pieza de
malware, sus capacidades y efectividad aumentaron
exponencialmente, así como las maneras de ser
infectado. Los cibecriminales adquirieron habilidad
al lanzar sus campañas ransomware, usando
plataformas como ransomware como servicio (RaaS)
para generar millones de dólares por ataque.
Evolución

El año pasado, el ransomware inundó los titulares como resultado de lo que podemos
describir como un salto evolutivo. Los ciberdelincuentes han conseguido transformar
una simple amenaza que cifra archivos en una herramienta bastante compleja y todo
parece indicar que la evolución continúa.
 Pero la situación cambió en 2016. Las listas aleatorias de los estafadores se fueron remplazando
por direcciones, especialmente recopiladas, de empleados que habían encontrado en
Internet. Los delincuentes habían descubierto que atacar a empresas generaba más
beneficios. El contenido del mensaje también había cambiado, en vez de enmascararlo en
forma de correspondencia personal, ahora parecían proceder de socios, clientes y servicios
fiscales.
2000-2005: Antivirus falsos y herramientas
de eliminación de spyware
La mayor preocupación fueron los falsos antivirus, las
herramientas de eliminación de spyware y las herramientas de
mejora del rendimiento para las computadoras que se diseñaron
para engañar a las víctimas para pagar por una reparación,
parche o solución al problema publicitado (2005, no bloqueaba
ni cifraba)

Sin embargo, para los cibercriminales el mercado de las


aplicaciones engañosas probó el concepto y el modelo del
negocio para el ransomware actual.

Asimismo, los antivirus falsos tuvieron tanto éxito engañando a


los usuarios para que paguen por una “reparación” a su
“problema”, que en el 2008, una persona vinculada con la
distribución de malware informó ganancias por $158.000 en una
semana.
2006-2011: Primeros troyanos de cifrado
Troyano ACHIEVUS fue una de la sprimeras piezas del malware
ransomware que utilizó el cifrado asimétrico RSA (Carpetas y
documentos), la solución fue comprar productos de farmacia.
Por correo electrónico nace Criptomalware que es conocido hoy.

2006 - 2011, El troyano GPCODE, propagado por archivos


adjuntos como solicitud de empleo. WINLOCK O RANSOMLOCK
bloqueaba la computadora hasta que se realice un pago.

2011, primer ataque de ransomware a gran escala, parecía


activación de Windows.
2012, los hackers crearon un Ramsonware como servicio (Raas),
El nuevo y sofisticado kit de herramientas de Citadel les
permitió a los posibles hackers y cibercriminales la posibilidad
de crear, implementar y administrar campañas botnet y
ransomware asociadas por debajo de los $50.
2013-2014: CryptoLocker
CryptoLocker era el paradigma en ese momento, y con Bitcoin
observamos la primera utilización de la criptomoneda como
medio de pago. CryptoLocker se propagaba con facilidad
mediante descargas ocultas desde sitios web maliciosos o
comprometidos, y también mediante archivos adjuntos de
correo.

En el mismo año, otros dispositivos y sistemas operativos


comenzaron a infectarse también. El objetivo eran los
smartphones que ejecutaban el sistema Android, y las
computadoras Mac que utilizaban el sistema operativo OSX.

En 2014, los ransomware tales como CryptoDefence,


CryptoWall, Koler (AndroidOS) y otros todos basados en
CryptoLocker, comenzaron a infectar más víctimas. Sin
embargo, en una llamada victoria para los buenos, un equipo
internacional de expertos en seguridad y cumplimiento de la ley
logró vencer al botnet que controlaba la mayor parte del tráfico
de ransomware.
2015: CryptoWall

El 2015 también trajo consigo a CryptoWall 4.0, TorrentLocker, TeslaCrypt,


Lowlevel04, LockerPin y muchos más. En respuesta a esta “nueva” amenaza, un
agente especial del FBI dijo: “Tan bueno es el ransomware. Para ser honesto,
nosotros generalmente aconsejamos a las personas que paguen por el rescate“.
Desde entonces, el FBI ha dado consejos más apropiados.
Actualidad

2016: Ransom32 y Ransomware como servicio (RaaS), Ransom32


era un nuevo y excitante ransomware con el que había que
lidiar ya que utilizaba JavaScript, a diferencia de cualquier otro
código base que se haya visto antes. Entregado por una red
RaaS, Ransom32 tenía la habilidad de soportar no solo
JavaScript, sino también HTML y CSS.

2017: WannaCry, Jaff, Cerber, Sage, Mamba, Petya, NotPetya y,


posiblemente el más exitoso, WannaCry. El 2017 ha sido un año
récord hasta ahora. WannaCry apareció en las noticias como el
ransomware que derribó gran parte de la infraestructura crítica
de las empresas de telecomunicaciones y del servicio de salud
del Reino Unido.
¿CÓMO SE PUEDE FRENAR LA EVOLUCIÓN DEL
RANSOMWARE?

 Solo se puede acabar con el desarrollo del ransomware disminuyendo su


efectividad y, para ello, se necesitan las últimas tecnologías. Nuestros
clientes se han mantenido sanos y salvos, todas nuestras soluciones para
equipos corporativos contienen subsistemas que nos permiten combatir el
ransomware con eficacia.
 Pero, aunque no utilices las soluciones corporativas de Kaspersky Lab, no
tienes por qué dejar tus datos sin protección. Kaspersky Anti-Ransomware
Tool, aumenta los mecanismos de seguridad de la mayoría de los proveedores
de terceros.
CONCLUSIONES

 Ransomware es una amenaza que debe tener un tratamiento especial.


 No es una amenaza masiva, por el contrario, los cibercriminales seleccionan muy bien a sus
víctimas.
 Un solo evento de Ransomware dentro de la red puede dejar abajo su negocio por varios días.
 El antivirus no es suficiente, se requieren controles de seguridad complementarios.
 Hasta el momento, el 2017 ha probado ser el año más exitoso en la historia del ransomware,
y dada la cantidad de dinero que pueden ganar los cibercriminales autores del ransomware,
es difícil que este problema encuentre una pronta solución. El ransomware continuará siendo
un gran problema también en el futuro, y requerirá que las empresas de todos los tamaños
elijan protecciones confiables y tomen medidas de prevención. ¡Mantenga sus datos a salvo y
continúe informado!

BIBLIOGRAFÍA

 Página web AVAST: https://www.avast.com/c-ransomware


 Página web ID RANSOMWARE: https://id-ransomware.malwarehunterteam.com/
DEMO: PROCESO DE
EJECUCIÓN DEL VIRUS
RANSOMWARE EN LA PC DE LA
VICTIMA
Lo ejecutas en tu Windows y al instante empieza a encriptar
toda la información de tu pc
Una vez ejecutado solo nos queda pagar por el rescate y
desbloquear con tu clave
El tiempo no se detiene si llega a cero adiós sistema
adiós