RANSOMWARE, el virus de la Policía
resucita y vuelve enfadado.
El Cuerpo Nacional de la Policía, que
desarrolló una excelente labor policial, desarticuló una célula de
cibercriminales que se dedicaban a lucrarse estafando a los incautos
internautas que pagaban supuestas multas para evitar ser denunciados, o
simplemente para evitar que sus familias o compañeros de trabajo dudasen de sus
“buenas conductas” a la
hora de navegar por la Red.
En alguna
ocasión en la que he tenido la oportunidad de charlar con Josep Albors (@JosepAlbors)
de ontinet.com, distribuidor en
España de los productos de ESET, y verdadero experto todo lo relacionado con
virus y malware, coincidíamos en la afirmación que, en cuanto a la “derrota” del “virus de la Policía“, solo habíamos ganado una batalla,
pero coincidíamos en que la guerra seguía abierta. Os recomiendo leer el blog
en el que escribe Josepprotegerse.com.
Lamentablemente no nos equivocábamos.
Efectivamente, poco después de la buena noticia aparecía una nueva mutación del
ransomware, en este caso no tenía la agresividad que sus “hermanos” mayores,
pero la molestia que causaba era notable, llegaba a bloquear el ordenador de
nuestro ordenador con infinidad de ventanas emergentes, debiendo clicar sobre
enlaces de publicidad para poder desbloquearlo.
Estos
clicks reportaban sustanciosos beneficios a los responsables del virus, puesto
que simplemente recibían un pago por cada click a un enlace publicitario, pero
no afectaba al bolsillo de los internautas. Estábamos antes una mutación
“light”.
Pero los cibercriminales
no se han quedado en eso, su ansía de lucro les hace mejorar sus técnicas y
vuelven con más fuerza.
¡¡EL RANSOMWARE SIGUE VIVO!!
Josep Albors
también lo advertía en su artículo en el blog de Ontinent sobre las nuevas mutaciones del “Virus de la Policía” que
aparecían en Latinoamérica.
Como decía recientemente David
Fuertes (@dfuertes) en una conferencia
en RootedCon, en
seguridad en la Red “-
las balas de plata no existen” , tampoco existen para terminar con el conocido
“Virus de la Policía”.
Estas nuevas mutaciones, también
están apareciendo en España, ahora los cibercriminales se están especializando
cada vez más, agudizan mas sus instintos delictivos, ahora se dirigen incluso a
empresarios.
Al igual que en sus “versiones” anteriores, aparece una ventana en la que un
cuerpo policial nos bloquea nuestro equipo e impide hacer nada con el ordenador
(en este caso el también tiene que ver con pornografía infantil o con
descargas realativas a contenidos protegidos con derechos de autor y/o
propiedad intelectual). Por supuesto nos siguen pidiendo, a modo de pago de
multa de 100 €uros para desbloquearlo en un plazo de entre 24 a 72 horas, que aporta
mayor “tensión” en la víctima. Llegando incluso a mostrar una cuenta atrás con
el tiempo que nos queda para realizar el pago antes de emprender acciones “legales”.
Además de estas variantes,
parece ser que, existe otra mutación bastante más agresiva, si cabe, mediante
la que el virus secuestra
y cifra archivos del ordenador víctima. No es la primera
vez que los cibercriminales utilizan la técnica del cifrado de archivos a sus
víctimas, pero en esta ocasión utilizan Windows PowerShell, que es una interfaz
diseñada para interactuar con el sistema operativo y que suele ser utilizada por
los administradores de sistemas. Una vez que los archivos han sido cifrados,
éstos son retenidos por los atacantes, los cuales exigen un pago de unos 360
euros para liberarlos.
Y ¿cómo llega este nuevo
“Mortadelo” a nuestro ordenador?
Es sencillo
para ellos, aunque un tanto complicado de explicar en este blog, pero vamos a
intentarlo gracias a zonavirus.com.
Los internautas reciben un mensaje de correo electrónico no
deseado, un SPAM (como siempre el inicio de casi todos nuestros Inseguridades en
Internet), este correo viene con con dos scripts (fichero de texto que contiene
una serie de instrucciones para que sean ejecutadas en el ordenador) ocultos y
maliciosos. El primero de ellos comprueba si el equipo
tiene instalado PowerShell. Si no está instalado éste se descarga una copia de
una cuenta, parece ser que de “Dropbox” y lo instala. El segundo de los script
comienza con la encriptación de los archivos (secuestrando cualquier archivo
susceptible de contener información potencialmente valiosa para la víctima, ya
sean documentos de texto, imágenes, vídeos, etc…).
Parece ser, según los expertos, que en esta variante los archivos
cifrados pueden volver a su “estado inicial” con el mismo programa, PowerShell.
Sin embargo existe otra variante más agresiva de este malware, en la el virus
empaqueta los archivos en un archivo comprimido en formato RAR con contraseña y
los codifica haciendo inútil cualquier intento de descifrado sin conocer la
clave utilizada para cifrar los datos. –
.INTECO nos
alertaba hace dos días sobre esta nueva variante de ransomware que está
siendo utilizada activamente para comprometer servidores Windows haciendo
inaccesibles gran parte de sus ficheros. Ver en “Nueva alerta peligroso ransomware“,
artículo donde también dan las pautas para su desinfección y formas de evitarlo
(DE MUY RECOMENDABLE LECTURA)
Si
recapitulamos un poco en las entradas de “El Blog de Angelucho” , así como en las distintas páginas y
blogs que han publicado sobre el tema, encontramos que el ransomware es un tipo de malware que restringe el acceso al
sistema informático, que infecta el ordenador víctima y que exige un rescate
que deberá ser pagado al creador del malware para eliminar la restricción.
El pago
siempre es mediante medios que hacen muy difícil el rastreo o seguimiento de
sus “beneficiarios”, utilizando plataformas como Ukash o PaySafeCard,
Algunas formas de ransomware cifran los archivos en el disco duro del sistema,
mientras que otros simplemente bloquean el ordenador mediante múltiples
mensajes que “invitan” a pagar al usuario. Por ejemplo, algunos ransomware
intentan hacerse pasar por alguna organización del estatal del país donde se
encuentra la víctima (lo detectan por la IP de la conexión de la víctima).
¿Cómo se puede evitar?
También os recomiendo, como médida para evitar la pérdida de vuestros datos,
que hagáis copias periódias de seguridad de la información que no queráis
perder y que tengáis en vuestros ordenadores.
Y ahora sabéis lo que toca decir ¿verdad?
Nosotros mismos somos nuestra peor vulnerabilidad pero también nuestro mejor
antivirus.
Nos vemos en la red…
X1RedMasSegura
Seguridad
Básica en la Red (III): Diez mandamientos para una navegación segura
Una vez que conocemos los riesgos, a los que nos
enfrentamos en internet, es hora de conocer y adoptar unas normas básicas
para disfrutar de una navegación segura, siguiendo este “decálogo”, una más de
tantos, conseguiremos proteger, no solo nuestro ordenador, si no que
también nuestros “bienes mas preciados” nuestra privacidad y nuestra propia
seguridad personal.
1) Utilizar un antivirus de confianza, no de los que
se descargan de cualquier página web (los hay incluso gratuitos y muy
efectivos), y sobre todo tener en cuenta la importancia de tenerlo actualizado,
los virus van apareciendo y los antivirus necesitan estas actualizaciones para
desempeñar su función
2) Mantener
actualizados los sistemas operativos de nuestros ordenadores así como los
programas más sensibles de infección o propicios para facilitar la entrada a
nuestros equipos por nuevas vulnerabilidades detectadas y que no han sido
actualizadas.
3) No
bajar la guardia pensando que al tener instalado un antivirus o actualizado
nuestro sistema operativo estamos exentos de ser víctimas de cualquier ataque.
Los virus realmente son peligrosos en su “nacimiento” cuando todavía no han
sido detectadas las “puertas falsas” por donde entran en nuestros equipos
(vulnerabilidades aún desconocidas), ni el malware catalogado por las compañías
de seguridad informática. A esto se le denomina ataque del día cero (0Day).
4) Si
nuestros conocimientos no son demasiado apropiados para poder apreciar un
ataque por algún tipo de malware deberíamos utilizar una cuenta de usuario con
permisos restringidos, evitando usar la cuenta de administrador que utilizamos
por defecto en nuestros ordenadores, de esa manera evitaremos que estos virus
modifiquen o manipulen nuestro ordenador.
5) Elegir
contraseñas seguras y distintas para cada uno de los servicios de internet que
utilicemos
6) Usar
sentido común y no hacer clic en cualquier “cosa” que veamos en la red.
7) Desconfiar
de los enlaces o descargas que nos aparecen en páginas webs de poca confianza o
correos electrónicos enviados por desconocidos.
8) Nunca abrir mensajes de usuarios desconocidos o que
no se hayan solicitado, eliminarlos directamente y no contestar en ningún caso
a estos mensajes.
9) No
hacer operaciones bancarias desde
ordenadores que no sean de tu confianza, como los de los cibercafés, o utilizando
conexiones wifis que no controles. Lo ideal sería utilizar un ordenador
especifico para “operaciones sensibles” en la red y no mezclar la navegación de
ocio.
10) Ser muy cauteloso con la información que se
decide compartir en la red, y con quien se comparte, porque Internet es como
Las Vegas, lo que se sube a Internet queda en Internet. Por
supuesto solo se debe aceptar como amigo a gente conocida, tanto en los clientes de
mensajería instantánea como en redes sociales.
Siempre os lo digo,
Nosotros mismos somos nuestra peor
vulnerabilidad pero también nuestro mejor antivirus.
Nos vemos en la red
