ransomware

Cryptolocker es un ransomware que ataca a sus víctimas encriptando los documentos almacenados en el equipo y pidiendo un rescate por ellos.

El ransomware es un tipo de malware que, una vez infecta el ordenador, bloquea la máquina y chantajea a la víctima para que ésta recupere el control del equipo a cambio de un desembolso de dinero. Por supuesto, pagar el rescate no nos garantiza que el cibercriminal nos devuelva el acceso, ya que es muy probable que nunca lo haga y que solo haya sido un truco para estafarnos. Algunos de los usuarios cuyos equipos fueron infectados afirman no haber recibido la clave de desbloqueo tras el pago.

Actualmente existen diferentes grupos de hackers que utilizan Cryptolocker en sus campañas maliciosas. Este malware cifra todos los tipos de documentos (fotos, vídeos, audio…) y, además, proporciona a los usuarios infectados una lista con todos los archivos encriptados. Para realizar esta “travesura”, utiliza el sistema de cifrado RSA-2048 con una clave privada. Además, se muestra un reloj con una cuenta atrás de tres días y una advertencia que insta a la víctima a pagar el rescate en ese plazo o se eliminará la clave para siempre; sin opción alguna a recuperar los archivos encriptados.

¿Cómo se difunde CryptoLocker? Principalmente a través de emails de phishing. Os dejamos una serie de medidas de seguridad para reducir el riesgo de infección.

Medidas de seguridad contra ransomware

Para reducir el riesgo de infección por malware del tipo ransomware “file encryptors”, como CryptoLocker, Kaspersky Lab recomienda tomar las siguientes medidas de seguridad:

1. Proteger mensajes de correo, ya es la principal vía de infección hasta el momento. Lo más eficaz es activar soluciones perimetrales en los sistemas de correo que puedan filtrar tanto Spam como archivos adjuntos que puedan contener código ejecutable en los mismos. Si no se dispone de soluciones perimetrales, debe activar el módulo de Antivirus de Correo de Kaspersky Lab, que filtra los siguientes tipos de archivos adjuntos: archivos zip, pdf, doc(x), xls(x), exe, bat, o cualquier otro que pueda contener macros.

2. Evitar descargar archivos cuyos enlaces estén indicados en el cuerpo de un correo y que no vengan de personas de confianza. Si existen dudas, revisar si en el correo existen caracteres extraños en vez de tildes o errores ortográficos como que las “ñ” vengan como “n”. Si es así, no abrir los posibles adjuntos ni pulsar en los enlaces.

3. Siempre que sea posible, actualizar el producto antivirus a Kaspersky Endpoint Security 10 MR1 for Windows (10.2.1.23) y configurarlo siguiendo este artículo técnico .

4. Asegurarse de que las bases de firmas de la solución de seguridad sean siempre las últimas disponibles.

5. Asegurarse que los componentes System Watcher y Kaspersky Security Network (KSN) estén activados.

6. Activar y configurar el módulo de control de actividad de aplicaciones para evitar la ejecución de aplicaciones que no sean de confianza.

7. Los ficheros maliciosos ocultan el tipo de archivo que son, usando diversas técnicas. Para tener visibilidad en todo momento del tipo de extensión real del fichero, se recomienda deshabilitar la opción de ‘Ocultar las extensiones de archivo para tipos de archivo conocidos’, en las ‘Opciones de Carpeta’ del Explorador de archivos de Windows.

8. Tener siempre copias de seguridad actualizadas de los datos, tanto de equipos de trabajo como de unidades de almacenamiento en dispositivos externos.

9. Mantener todo el software actualizado para protegerse de infecciones desde páginas que utilizan Web Exploit Kits, que se aprovechan de vulnerabilidades del navegador, Java, Flash o Adobe Acrobat.

Recuperación de archivos tras la infección

Si se ha producido una infección, las vías para intentar recuperar los archivos son:

1. Apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red.
2. Entrar en modo seguro del sistema y proceder a recuperar las Volume Shadow Copies.
3. Proceder a la restauración de las copias de seguridad.
4. Intentar recuperar los archivos con herramientas forenses.
5. Utilizar las herramientas de Kaspersky o de terceros.
6. Abrir una incidencia al departamento de Soporte Técnico de Kaspersky Lab a través del portal de gestión de incidencias, descargando y enviando la información solicitada en el fichero disponible en este enlace.

Además, Kaspersky ha desarrollado dos herramientas, una para saber si tus clientes han sido infectados por una red Botnet, y otra, para, en caso de ser víctimas de Ransomware, descifrar los archivos afectados.

Y recuerda que lo mejor es la prevención, así que te recomendamos que instales a tus clientes las soluciones de seguridad más avanzadas, como las que ofrece Kaspersky, y que puedes ver en nuestra web.

#Cryptolocker #seguridad #ransomware #kaspersky
Fuente: GTI – Enrique Muñoz