El ransomware es una forma particularmente invasiva de malware que generalmente se hace cargo de los datos o el dispositivo de una víctima y lo retiene como rehén hasta que se entregue una suma de dinero para asegurar su liberación.
El ransomware implica esencialmente una extorsión digital donde el malware retiene archivos o sistemas informáticos como rehenes hasta que la víctima paga una tarifa. El ransomware es popular con un número cada vez mayor de ciberdelincuentes, probablemente debido a su facilidad de implementación y alto retorno de la inversión. Agregue a esto el advenimiento de la criptomoneda, que ha facilitado a los atacantes escapar de sus crímenes.
Según Daniel Tobok, CEO de Cytelligence Inc., una compañía de ciberseguridad y eliminación de ransomware , “Ransomware es realmente el arma elegida por un criminal. Pueden vernos pero nosotros no podemos verlos ".
El ransomware puede ser costoso para las personas, pero puede ser especialmente perjudicial para las empresas. Se estima que los daños totales a las empresas en los Estados Unidos debido al ransomware totalizaron $ 5 mil millones solo en 2017 . Los daños pueden incluir costos relacionados con el pago de rescates, la pérdida de datos, el pago de servicios profesionales para tratar de recuperar datos, el tiempo de inactividad durante los ataques, la pérdida de clientes después de los ataques y más.
La mejor manera de reducir la amenaza del ransomware es evitar que se instale en primer lugar. Pero si caes víctima, tienes opciones. En esta guía, explicamos qué es el ransomware y cómo prevenirlo y eliminarlo. Nos centramos en métodos prácticos que puede emplear que enfatizan la eliminación en lugar de pagar el rescate, lo que desaconsejamos encarecidamente.
¿Qué es el ransomware y cómo funciona?
El ransomware es similar a algunas otras formas de malware, con un poco más de extorsión. El ransomware es una categoría de malware, pero también hay diferentes tipos de ransomware. Penetra en los sistemas informáticos de la misma manera que otras formas de malware. Por ejemplo, podrías:
- Descárgarlo desde un enlace o enlace de correo electrónico malicioso
- Cárgarlo en su máquina desde una unidad flash USB o DVD
- Descárgarlo mientras visita un sitio web dañado
Una vez que está en su sistema, el ransomware apaga ciertas funciones del sistema o niega el acceso a los archivos. En el caso de las máquinas con Windows, generalmente deshabilita su capacidad de acceder al menú de inicio (de esa manera no puede acceder a los programas antivirus o tratar de volver al Modo seguro).
Un elemento básico de muchos tipos de ransomware es el cifrado o encriptamiento. El ransomware cifra los archivos en su dispositivo para que no se puedan abrirse sin una contraseña. Para obtener la contraseña, debe pagar un rescate al atacante.
Cualquier archivo se puede cifrar con ransomware, aunque la mayoría de los ransomware no intentarán cifrar todo tipo de archivos. Los objetivos comunes incluyen archivos de imagen, PDF y cualquier tipo de archivo creado por Microsoft Office (como archivos Excel y Word). El método común que usará el ransomware es buscar archivos en unidades comunes y encriptar cualquiera o la mayoría de los archivos que encuentre allí.
Algunas formas más nuevas de cifrado de ransomware incluso han llevado a cifrar archivos compartidos de red , un desarrollo peligroso para las empresas en particular.
Hasta que elimine el virus de su máquina (o pague el rescate exigido y espere que el criminal lo elimine por usted), no tendrá acceso a esos archivos. Algunos ransomware incluso exigirán que pague dentro de un cierto período de tiempo, de lo contrario los archivos permanecerán bloqueados para siempre o el virus borrará por completo su disco duro.
¿Por qué es tan efectivo el ransomware?
Cualquiera que sea el método que utilice el programa para penetrar en su sistema, el ransomware está diseñado para ocultarse simulando ser algo que no es, incluso cambiando los nombres de los archivos o las rutas para que su computadora y el software antivirus pasen por alto los archivos sospechosos. La diferencia clave entre el ransomware y otras formas de malware es que el propósito del ransomware se extiende más allá de la travesura o el robo sigiloso de información personal.
A diferencia de muchos otros virus, que a menudo están diseñados en torno al sigilo antes y después de invadir su sistema, los diseñadores de ransomware quieren que sepa que el programa está allí.
Después de instalar el programa, se apodera completamente de su sistema de tal manera que se verá obligado a prestarle atención. Es un modus operandi muy diferente al que tradicionalmente han seguido los diseñadores de virus, y parece ser el diseño de virus más efectivo hasta la fecha.
El ransomware funciona a través del miedo, la intimidación, la vergüenza y la culpa. Una vez que el programa está allí, comienza una campaña negativa de manipulación emocional para que pague el rescate. Con demasiada frecuencia, esas tácticas de miedo funcionan, especialmente en personas que no se dan cuenta de que hay alternativas a pagar.
Según una encuesta de Malwarebytes de 2016 de las grandes empresas afectadas por el ransomware, el 40 por ciento de las víctimas pagaron el rescate , mientras que una encuesta de IBM a las pequeñas y medianas empresas en el mismo año informó una tasa mucho mayor del 70 por ciento .
Tipos de ransomware
El ransomware existe desde la década de 1980, pero muchos ataques hoy en día usan ransomware basado en el troyano Cryptolocker más moderno. El ransomware de cifrado de archivos es cada vez más el tipo más común. Sin embargo, según Malwarebytes , existen varias categorías de ransomware que aún puede encontrar:
Cifrado de ransomware
Si el ransomware llega a su máquina, es probable que sea de la variedad de cifrado. El cifrado de ransomware se está convirtiendo rápidamente en el tipo más común debido a un alto retorno de la inversión para los ciberdelincuentes que lo usan, y lo difícil que es descifrar el cifrado o eliminar el malware.
El cifrado de ransomware cifrará completamente los archivos en su sistema y no le permitirá acceder hasta que haya pagado un rescate, generalmente en forma de Bitcoin. Algunos de estos programas también son urgentes y comenzarán a eliminar archivos hasta que se pague el rescate, lo que aumenta la sensación de urgencia de pagar.
En este tipo de ransomware, Adam Kujawa, Jefe de Inteligencia de Malwarebytes, dijo lo siguiente : “Es demasiado tarde una vez que te infectas. Juego terminado."
Una copia de seguridad o "backup" en línea puede ser de gran ayuda para recuperar archivos cifrados. La mayoría de los servicios de respaldo en línea incluyen versiones para que pueda acceder a versiones anteriores de archivos y no a las encriptadas
Los bloqueadores de pantalla son otra buena razón por la que tener una copia de seguridad en línea es extremadamente importante. Si bien el bloqueador de pantalla no cifrará ni eliminará sus archivos, puede verse obligado a realizar una restauración del sistema.
Es posible que la restauración del sistema no elimine sus archivos importantes, pero los devolverá a un estado anterior. Dependiendo de los estados restaurados, eso puede resultar en una gran cantidad de datos perdidos o progreso. Las copias de seguridad en línea regulares ayudarán a evitar la pérdida de datos que no garantiza la realización de una restauración del sistema, especialmente si el virus se ha ocultado en su sistema durante mucho más tiempo de lo que creía.
Cómo prevenir el ransomware
Descifrar archivos cifrados con ransomware es increíblemente difícil. La mayoría de los ransomware en estos días usarán métodos de encriptación AES o RSA, los cuales pueden ser increíblemente difíciles de descifrar. Para ponerlo en perspectiva, el gobierno de los EE. UU. también utiliza los estándares de cifrado AES para documentos clasificados. La información sobre cómo crear este tipo de encriptación es ampliamente conocida, al igual que la dificultad para descifrarla. Hasta que alguien realice el sueño de la computación cuántica, el craqueo por fuerza bruta para AES es efectivamente imposible.
Siendo este el caso, el mejor método para combatir el ransomware es nunca permitir que ingrese a su sistema en primer lugar. La protección se puede lograr apuntalando áreas débiles y cambiando los comportamientos que generalmente permiten que el ransomware ingrese a su sistema. Estas son algunas de las mejores prácticas a seguir para prevenir el ransomware:
- Invierta en copias de seguridad de datos sólidos. Esto es difícil de subestimar. La copia de seguridad de datos es lo mejor que puede hacer. Incluso si el ransomware lo golpea, tener una copia de seguridad de datos efectiva y consistente significa que sus datos estarán seguros, independientemente del tipo de ransomware con el que sea atacado.
- Invierta en software antivirus efectivo. En este caso, no solo quiere limpiadores de malware o virus, sino un software que lo monitoreará activamente y lo alertará sobre amenazas, incluso dentro de los navegadores web. De esta forma, recibirá notificaciones de enlaces sospechosos o será redirigido fuera de sitios web maliciosos donde se puede alojar ransomware.
- Nunca haga clic en enlaces de correo electrónico sospechosos. La mayoría del ransomware se propaga a través del correo electrónico. Cuando tiene la costumbre de nunca hacer clic en enlaces sospechosos, reduce significativamente el riesgo de descargar ransomware y otros virus.
- Proteja las computadoras conectadas a la red. Algunos ransomware funcionan explorando redes activamente y accediendo a cualquier computadora conectada que permita el acceso remoto. Asegúrese de que las computadoras de su red tengan el acceso remoto deshabilitado o utilicen métodos de protección sólidos para evitar el acceso fácil.
- Mantenga el software actualizado. Las actualizaciones de Windows y otros sistemas operativos y aplicaciones a menudo corrigen vulnerabilidades de seguridad conocidas. La actualización oportuna puede ayudar a reducir el riesgo de susceptibilidad al malware, incluido el ransomware.
Qué hacer si detecta el cifrado medio de ransomware
El cifrado es un proceso de uso intensivo de recursos que consume mucha potencia computacional. Si tiene suerte, puede atrapar el ransomware en mitad del cifrado. Esto requiere una gran atención y saber cómo se ven y suenan cantidades inusualmente grandes de actividad en su computadora. El cifrado de ransomware ocurrirá en segundo plano, por lo que es casi imposible detectar que esto realmente ocurra a menos que lo esté buscando específicamente.
Además, es probable que el virus que realiza el cifrado se oculte dentro de otro programa o tenga un nombre de archivo modificado que parezca inocuo, por lo que es posible que no pueda saber qué programa está realizando la acción. Sin embargo, si descubre lo que cree que es un virus de cifrado de virus ransomware, aquí hay un par de opciones:
Coloque su computadora en hibernación
Esto detendrá cualquier proceso en ejecución y creará una imagen de memoria rápida de su computadora y archivos. No reinicie su computadora ni la saque de la hibernación. En este modo, un especialista en informática (ya sea de su departamento de TI o de una empresa de seguridad contratada) puede montar el dispositivo en otra computadora en modo de solo lectura y evaluar la situación. Eso incluye la recuperación de archivos sin cifrar.
Suspender la operación de cifrado
Si puede identificar qué operación es la culpable, es posible que desee suspender esa operación.
En Windows, esto implica abrir el Administrador de tareas y buscar operaciones sospechosas. En particular, busque operaciones que parecen estar escribiendo mucho en el disco.
Puede suspender operaciones desde allí. Es mejor suspender la operación en lugar de matarla, ya que esto le permite investigar el proceso con más detalle para ver qué está haciendo realmente. De esa manera, puede determinar mejor si tiene ransomware en sus manos.
Si encuentra que es ransomware, verifique en qué archivos se ha centrado el proceso. Puede encontrarlo en el proceso de cifrar ciertos archivos. Puede copiar estos archivos antes de que finalice el proceso de cifrado y moverlos a una ubicación segura.
Puede encontrar otras sugerencias excelentes de profesionales de la seguridad y la informática en Stack Exchange .
Eliminación de ransomware: cómo eliminar scareware y bloqueadores de pantalla (virus de pantalla bloqueada)
Los bloqueadores de pantalla son más difíciles de eliminar que el scareware, pero no son tan problemáticos como el ransomware de cifrado de archivos. Los virus Scareware y de bloqueo de pantalla no son perfectos y, a menudo, se pueden eliminar fácilmente sin costo alguno. Tienes dos opciones principales:
- Realice un análisis completo del sistema utilizando un limpiador de malware a pedido de buena reputación.
- Realice una restauración del sistema a un punto antes de que el scareware o el bloqueador de pantalla comiencen a mostrar mensajes.
Veamos ambos en detalle:
Opción 1: realizar un escaneo completo del sistema
Este es un proceso bastante simple, pero antes de realizar un análisis del sistema, es importante elegir un limpiador de malware a pedido de buena reputación. Uno de esos limpiadores es Zemana Anti-Malware , o los usuarios de Windows incluso podrían usar la herramienta integrada de Windows Defender.
Para realizar el análisis completo del sistema con Zemana Anti-Malware, haga lo siguiente:
- Abra la pantalla de inicio de Zemana Anti-Malware.
- Haga clic en el símbolo del engranaje en la esquina superior derecha para acceder a la configuración.
- Haga clic en Escanear a la izquierda.
- Seleccione Crear punto de restauración .
- Regrese a la pantalla de inicio y haga clic en el botón verde Escanear en la parte inferior derecha.
Establecer el punto de restauración es una buena práctica recomendada para los análisis de virus en general. Mientras tanto, su análisis de virus podría etiquetar algunas cosas como problemas que no son problemas (las extensiones de Chrome a menudo aparecen como problemáticas, por ejemplo), mientras que puede encontrar áreas de preocupación que no esperaba.
Asegúrese de verificar qué archivos está limpiando y poniendo en cuarentena correctamente.
Para realizar un análisis completo del sistema con Windows Defender, haga lo siguiente:
- Realice una búsqueda rápida del sistema para "Windows Defender".
- Acceda a Windows Defender y seleccione Completo en el lado derecho.
- Haga clic en Escanear .
Microsoft mejora continuamente su software antivirus integrado de Windows, pero no es una solución tan buena como una opción bajo demanda como Zemana o muchos otros programas de alta calidad. Puede elegir ejecutar dos programas para cubrir sus bases, pero tenga en cuenta que no pueden ejecutarse simultáneamente.
Cuando se trata de ransomware de bloqueo de pantalla , es posible que deba ingresar al modo seguro para que los eliminadores de virus a pedido funcionen o para ejecutar la restauración de su sistema correctamente. Incluso algunos scareware a veces pueden evitar que abra sus programas de eliminación de virus, pero generalmente no pueden evitar que lo haga mientras está en Modo seguro .
Opción 2: realizar una restauración del sistema
Otra opción es realizar una restauración del sistema a un punto antes de que el scareware o el bloqueador de pantalla comiencen a mostrar mensajes. Tenga en cuenta que esta opción asume que tiene su computadora configurada para crear puntos de restauración del sistema a intervalos preestablecidos, o que ha realizado esta acción usted mismo manualmente. Si accede a esta guía como medida preventiva contra el ransomware, será una buena idea crear puntos de restauración a partir de este momento.
Aquí le mostramos cómo encontrar sus puntos de restauración o establecer nuevos puntos de restauración en Windows:
- Acceda a su Panel de control (puede hacerlo a través de una búsqueda del sistema para "Panel de control").
- Haga clic en Sistema y seguridad .
- Haz clic en Sistema .
- Vaya a Configuración avanzada del sistema .
- Haga clic en la pestaña Protección del sistema y seleccione Restaurar sistema .
- Si nunca ha ejecutado una copia de seguridad del sistema, haga clic en Configurar copia de seguridad . Esto abrirá las operaciones de respaldo y le ayudará a comenzar. Una vez allí, deberá elegir su ubicación de respaldo, los archivos que desea respaldar (o puede dejar que Windows los seleccione por usted), programar cuándo desea que se realicen sus respaldos y luego realizar el respaldo.
- Si muestra que ya tiene una copia de seguridad, seleccione los archivos de copia de seguridad desde el punto de restauración más reciente o desde el punto de restauración que desee.
El proceso de restauración de la copia de seguridad puede llevar varios minutos, especialmente si la cantidad de datos que se restaura es significativa. Sin embargo, esto debería restaurar su sistema de archivos a un punto anterior a la descarga e instalación del virus.
Tenga en cuenta que tanto el escaneo como la restauración pueden retrasar los tiempos de reacción, por lo que es una buena idea hacer ambas cosas.
Eliminación de ransomware: cómo eliminar el ransomware de cifrado de archivos
Una vez que el ransomware encriptado ingresa a su sistema, tiene problemas si desea conservar los datos no guardados o cualquier cosa que no haya sido respaldada (al menos sin pagar por ello). Sorprendentemente, muchos ciberdelincuentes son bastante honorables cuando se trata de liberar el cifrado después de haber recibido el pago. Después de todo, si nunca lo hicieran, la gente no pagaría el rescate. Aún así, existe la posibilidad de que pueda pagar el rescate y encontrar sus archivos nunca publicados, o que los delincuentes pidan más dinero.
Dicho esto, si te golpean con un desagradable ransomware de cifrado, no entres en pánico. Además de eso, no pague el rescate. Tiene dos opciones alternativas para la eliminación de ransomware:
- Contrata un servicio profesional de eliminación de ransomware: si tienes el presupuesto para contratar a un profesional y consideras que la recuperación de tus archivos vale la pena, entonces este podría ser el mejor curso de acción. Muchas empresas, incluidas Proven Data Recovery y Cytelligence, se especializan en proporcionar servicios de eliminación de ransomware. Tenga en cuenta que algunos cobran incluso si la eliminación no tiene éxito, mientras que otros no.
- Intente eliminar el ransomware usted mismo: esto generalmente es gratuito y puede ser una mejor opción si no tiene los fondos para contratar a un profesional. La recuperación de sus propios archivos generalmente implicará primero eliminar el malware y luego usar una herramienta para descifrar sus archivos.
Si desea intentar resolver el problema usted mismo, estos son los pasos a seguir:
Paso 1: ejecute un antivirus o un eliminador de malware para eliminar el virus de cifrado
Consulte las instrucciones de eliminación de malware / virus proporcionadas en la sección de eliminación de scareware / bloqueo de pantalla anterior. El proceso de eliminación en este paso será el mismo, con una excepción: LE ANIMAMOS ENCARECIDAMENTE QUE QUITE ESTE VIRUS EN MODO SEGURO SIN REDES.
Existe la posibilidad de que el ransomware de cifrado de archivos que ha contratado también haya comprometido su conexión de red, por lo que es mejor cortar el acceso de los hackers a la fuente de datos al eliminar el virus. Tenga en cuenta que esto puede no ser prudente si se trata de algunas variantes del ransomware WannaCry, que se comprueban en un sitio web galimatías para identificar un posible interruptor asesino. Si esos sitios están registrados (lo que son ahora), el ransomware detiene el cifrado. Sin embargo, esta situación es muy poco común.
Eliminar el malware es un primer paso importante para solucionar este problema. Muchos programas confiables funcionarán en este caso, pero no todos los programas antivirus están diseñados para eliminar el tipo de malware que cifra los archivos. Puede verificar la efectividad del programa de eliminación de malware buscando en su sitio web o contactando a soporte al cliente.
El verdadero problema que encontrará es que sus archivos permanecerán cifrados incluso después de eliminar el virus . Sin embargo, intentar descifrar archivos sin eliminar primero el malware puede hacer que los archivos se vuelvan a cifrar.
Paso 2: Intente descifrar sus archivos con una herramienta gratuita de descifrado de ransomware
Una vez más, debe hacer todo lo posible para evitar pagar un rescate. Su próximo paso será probar una herramienta de descifrado de ransomware. Sin embargo, tenga en cuenta que no hay garantía de que haya una herramienta de descifrado de ransomware que funcione con su malware específico. Esto se debe a que puede tener una variante que aún no se ha descifrado.
¡Kaspersky Labs y varias otras compañías de seguridad operan un sitio web llamado No More Ransom! donde cualquiera puede descargar e instalar descifradores de ransomware.
Kaspersky también ofrece descifradores de ransomware gratuitos en su sitio web.
Primero, le sugerimos que use la herramienta No More Ransom Crypto Sheriff para evaluar qué tipo de ransomware tiene y si actualmente existe un descifrador para ayudar a descifrar sus archivos. Funciona así:
- Seleccione y cargue dos archivos cifrados desde su PC.
- Proporcione un sitio web o una dirección de correo electrónico dada en la demanda de rescate, por ejemplo, donde el ransomware le indica que vaya a pagar el rescate.
- Si no se proporciona una dirección de correo electrónico o sitio web, cargue el archivo .txt o .html con la nota de rescate.
Crypto Sheriff procesará esa información en su base de datos para determinar si existe una solución. Sin embargo, si no se ofrece ninguna sugerencia, no te rindas todavía. Es posible que uno de los descifradores siga funcionando, aunque es posible que deba descargar todos y cada uno. Este será un proceso ciertamente lento y arduo, pero podría valer la pena ver esos archivos descifrados.
¡El conjunto completo de herramientas de descifrado se puede encontrar en la pestaña Herramientas de descifrado en No More Ransom! sitio web.
Ejecutar los descifradores de archivos es bastante fácil. La mayoría de los descifradores vienen con una guía práctica del desarrollador de la herramienta (la mayoría son de EmsiSoft, Kaspersky Labs, Check Point o Trend Micro). Cada proceso puede ser ligeramente diferente, por lo que querrá leer la guía de instrucciones en PDF para cada uno, cuando esté disponible.
Aquí hay un ejemplo del proceso que tomaría para descifrar el ransomware de Filadelfia:
- Elija un archivo encriptado en su sistema y una versión de ese archivo que actualmente no está encriptada (de una copia de seguridad). Coloque estos dos archivos en su propia carpeta en su computadora.
- Descargue el descifrador Philadelphia y mueva el ejecutable a la misma carpeta que sus archivos emparejados.
- Seleccione el par de archivos y luego arrastre y suelte los archivos en el ejecutable del descifrador. El descifrador comenzará a determinar las claves correctas necesarias para descifrar el archivo.
- Este proceso puede llevar bastante tiempo, dependiendo de la complejidad del programa.
- Una vez completado, recibirá la clave de descifrado para todos los archivos cifrados por el ransomware.
- Luego, el descifrador le pedirá que acepte un acuerdo de licencia y le proporcionará las opciones para las unidades desde las que descifrar archivos. Puede cambiar la ubicación en función de dónde se encuentran actualmente los archivos, así como algunas otras opciones que pueden ser necesarias, según el tipo de ransomware. Una de esas opciones generalmente incluye la capacidad de mantener los archivos cifrados.
- Recibirá un mensaje en la interfaz de usuario del descifrador una vez que se hayan descifrado los archivos.
Una vez más, este proceso puede no funcionar, ya que es posible que tenga ransomware para el que no hay un descifrador disponible. Muchas personas que se infectan simplemente pagan el rescate sin buscar métodos de eliminación, por lo que muchos de estos ransomware todavía se usan, a pesar de haber sido descifrados.
Opción de copia de seguridad: limpie su sistema y realice una restauración completa de datos desde una copia de seguridad de datos
Los pasos 1 y 2 solo funcionan cuando se usan juntos. Si alguno no funciona para usted, deberá seguir este paso. Con suerte, ya tiene una copia de seguridad de datos sólida y confiable. Si es así, no cedas a la tentación de pagar el rescate. En cambio, personalmente o con un profesional de TI (preferiblemente esta opción) limpie su sistema y restaure sus archivos a través de su sistema de respaldo físico o en línea.
Esta es también una razón por la cual la copia de seguridad y la restauración de metal desnudo son importantes. Existe una buena posibilidad de que su profesional de TI necesite realizar la restauración completa de metal desnudo por usted.
Esto no solo incluye sus archivos personales, sino también su sistema operativo, configuraciones y programas. Los usuarios de Windows también pueden necesitar considerar un reinicio completo del sistema a la configuración de fábrica. Microsoft proporciona una explicación para múltiples métodos y opciones de restauración de archivos y sistemas .
[isc_list]