Durante todo el 2013, fue más que evidente el aumento de los Filecoders, troyanos que cifran la información de los usuarios, para luego exigir el pago de un rescate a cambio de la misma. Recientemente se ha descubierto una nueva familia de códigos maliciosos de este tipo, que se presenta como Cryptolocker 2.0. El denominado Ransomware, se está consolidando en América Latina y ya existen varios usuarios afectados en la región. Entre ellos se destaca Multi Locker, y México como el país más afectado por este tipo de malware. Nymaim es otro código malicioso que afecta a dicho país y que solicita una suma de dinero que asciende a los 150 dólares aproximadamente por el rescate del equipo.
¿Cómo funcionan estos programas que secuestran la información? luego del enlace te contamos también como puedes prevenirlo.
¿Cómo funcionan estos programas que secuestran la información?
Después de la infección, el troyanos como Cryptolocker 2.0, escanea la estructura de carpetas de la víctima en busca de archivos que coincidan con un conjunto de extensiones; .mp3, .mp4, .jpg, .png, .avi, .mpg, mejor dicho música, imagen y video, mientras que Cryptolocker parece estar más orientado a usuarios corporativos, Documentos de Word, Excell, etc, luego que los cifra y se muestra una ventana de mensaje que exige un rescate para descifrarlos.
La evolución de estos códigos maliciosos, del tipo ransomware, radica en el uso de algoritmos cada vez más complejos que imposibilitan o dificultan la recuperación de los archivos. Frente al aumento de este malware, ESET recomienda seguir los siguientes consejos:
- Activar Mostrar las extensiones de archivo ocultas:
por defecto, Windows oculta las extensiones de archivo conocidas. Aprovechándose de eso, una de las formas en las que se propaga Cryptolocker es a través de archivos con la extensión “.PDF.EXE”. Activando la posibilidad de ver la extensión completa de un archivo, puede ser más fácil detectar cuándo se trata de alguno sospechoso. - Colocar reglas para Filtrar los archivos .EXE en el mail:
Si el gateway del correo tiene la posibilidad de filtrar archivos por extensiones, se puede optar por denegar aquellos que se envíen con “.EXE” o por denegar mails que contengan dos extensiones, siendo la última ejecutable. Una alternativa sería reemplazar los ejecutables con archivos ZIP protegidos con contraseña, o a través de servicios en la nube. - Ante la sospecha de infección Desconectarse de Internet:
En caso de ejecutar un archivo que se sospecha puede ser ransomware, si todavía no apareció la típica pantalla de bloqueo pidiendo el rescate y si se actúa con rapidez, es posible detener la comunicación con el Centro de Comando y Control antes de que el malware termine de cifrar los archivos. Si se desconecta el equipo de la red de forma inmediata, es posible mitigar el impacto del ransomware. - Deshabilitar cualquier usuario por defecto que no esté en uso dentro del sistema.
- Proteger las configuraciones de los productos de seguridad con contraseñas fuertes.
De existir esta protección, sería más complejo para la infección ejecutarse exitosamente.
Realizar auditorías de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.
Obviamente las recomendaciones de siempre como:
- Hacer Copias de seguridad
- Contraseñas fuertes
- Cambiar regularmente tus contraseñas
- Actualizar tus navegadores
- Realiza escaneos completos de tu equipos con mas frecuencia.
Esperamos nunca estés en nuestra lista de lectores con alguno de estos problemas
Más información sobre Cryptolocker 2.0 en http://blogs.eset-la.com/laboratorio/2013/12/20/cryptolocker-2-0-nueva-version/.