Centro de Ayuda

¿Por qué Cryptolocker es tan notable?

Una amenaza en particular de tipo ransomware que apareció mucho en las noticias es Cryptolocker (detectada por ESET como Win32/Filecoder). Este malware se asoció con una variedad de otros programas maliciosos, como troyanos backdoor, downloaders, spammers, ladrones de contraseñas, troyanos clicker de publicidades, entre otros. Cryptolocker puede llegar solo (en general enviado por correo electrónico) o como componente adicional de un backdoor o un downloader.

Sus creadores fueron hábiles y persistentes; hicieron un esfuerzo coordinado para lanzar nuevas variantes con el objetivo de mantenerse al día de los cambios en la tecnología de protección y para ir atacando a distintos grupos con el paso del tiempo. Fue así como nos encontramos con Cryptolocker 2.0, aunque últimamente, otras amenazas como CryptoWall 3.0 también estuvieron muy presentes.

Al principio, los correos electrónicos estaban dirigidos a usuarios domésticos, luego a empresas pequeñas, medianas, y ahora también atacan a grandes corporaciones. Además del correo electrónico, este malware puede propagarse por puertos RDP que hayan quedados abiertos a Internet. Cryptolocker también puede afectar los archivos del usuario alojados en unidades de red asociadas al equipo (por ejemplo, D:, E:, F:). Por lo tanto, es capaz de afectar archivos ubicados en discos rígidos externos, incluyendo unidades de memoria USB, o carpetas que se encuentren en la red o en la nube. Si, por ejemplo, tienes una carpeta de Dropbox asignada en forma local, también podría cifrar sus archivos.

Los elegidos por esta amenaza suelen ser aquellos con formatos de datos muy populares, archivos que abrirías con un programa instalado en el equipo (como Microsoft Office, los programas de Adobe, iTunes u otros reproductores de música, o visualizadores de fotos).

Los criminales usan dos tipos de cifrado: los archivos en sí se protegen con cifrado AES de 256 bits. Las claves generadas por este primer proceso de cifrado a su vez se protegen con cifrado RSA de 2048 bits, y los autores guardan la clave privada que permite descifrar tanto las claves ubicadas en la máquina del usuario, como los archivos que estas claves protegen. La clave de descifrado no puede adivinarse por fuerza bruta ni extraerse de la memoria del equipo afectado. Aparentemente, los criminales son los únicos que tienen la clave privada.

¿Qué se puede hacer al respecto?

Por un lado, el ransomware puede ser muy preocupante, dado que los archivos cifrados bien podrían considerarse dañados irreparablemente. Pero si preparaste tu sistema en forma correcta, no será nada más que una simple molestia.

Los siguientes consejos te ayudarán a protegerte del ransomware y evitar que te arruine el día:

1. Haz un backup periódico de tus datos

La única herramienta y la más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. Si te ataca un ransomware podrás perder ese documento en el que comenzaste a trabajar esta mañana, pero si puedes restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde tu backup los documentos que estaban infectados, estarás tranquilo.

Recuerda que Cryptolocker también cifra archivos en unidades asignadas. Esto incluye todos los discos externos como las memorias USB, así como los espacios de almacenamiento en la red o en la nube para los que haya una letra de unidad asignada. Por lo tanto, lo que debes hacer es llevar un régimen periódico en un disco externo o servicio de backup, que no tenga asignada ninguna letra de unidad o que se pueda desconectar mientras no está haciendo el backup. Encontrarás más información en nuestra Guía de Backup.

Los siguientes tres consejos tienen que ver con la forma en que Cryptolocker se comporta, aunque es posible que no sea el caso de manera indefinida, pero aún así pueden ayudar a incrementar tu seguridad en general mediante pequeñas acciones, y evitar una variedad de técnicas de malware comunes.

2. Muestra las extensiones ocultas de los archivos

Con frecuencia, una de las maneras en que se presenta Cryptolocker es en un archivo con extensión “.PDF.EXE”, aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Si desactivas la casilla correspondiente, podrás ver la extensión completa de cada uno y será más fácil detectar los sospechosos.

3. Filtra los archivos .EXE del correo electrónico

Si tu sistema cuenta con una herramienta que permite filtrar adjuntos por extensión, puedes configurarlo para rechazar los correos que tengan archivos “.EXE” o con doble extensión, donde la última sea la del ejecutable (seleccionar los archivos “*.*.EXE” al configurar el filtro). Si necesitas intercambiar archivos ejecutables dentro de tu entorno y configuraste el sistema para rechazar los de tipo “.EXE”, igual podrás hacerlo convirtiéndolos a ZIP (protegidos por contraseña, por supuesto) o mediante servicios en la nube.

4. Deshabilita los archivos que se ejecutan desde las carpetas AppData y LocalAppData

Puedes crear reglas en Windows o mediante el software de prevención de intrusiones para bloquear un comportamiento en particular, típico de Cryptolocker: el hecho de que ejecuta su archivo .EXE desde la carpeta App Data o Local App Data. Si por alguna razón tienes un software legítimo configurado para ejecutarse desde el área de App Data en vez de hacerlo desde Archivos de programa, deberás crear una excepción para esta regla.

5. Usa el Kit para la prevención de Cryptolocker

El kit para la prevención de Cryptolocker es una herramienta creada por Third Tier que automatiza la creación de una Política de Grupo para deshabilitar los archivos que se ejecutan desde las carpetas App Data y Local App Data. Además deshabilita los ejecutables que se abren desde el directorio Temp de diversas utilidades para comprimir archivos.

Esta herramienta se va actualizando a medida que nuevas técnicas de Cryptolocker salen a la luz, por lo que deberás verificarla en forma periódica para asegurarte de que tienes la última versión. Si necesitas crear excepciones para estas reglas, Third Tier suministra este documento que explica el proceso.

6. Deshabilita RDP

El malware Cryptolocker/Filecoder en general accede a las máquinas mediante el Protocolo de escritorio remoto (RDP, por sus siglas en inglés), una utilidad de Windows que les permite a terceros obtener acceso a tu equipo de escritorio en forma remota. Si no necesitas usar el protocolo RDP, puedes deshabilitarlo para proteger tu máquina de Filecoder y otros exploits RDP. Para ver las instrucciones, consulta el artículo correspondiente de Microsoft Knowledge Base.

7. Instala las revisiones y actualizaciones de tu software

Los siguientes dos consejos son más generales y sirven tanto para Cryptolocker como para cualquier otra amenaza de malware. Los cibercriminales con frecuencia se basan en que las personas usan software desactualizado con vulnerabilidades conocidas, lo que les permite usar un exploit e ingresar silenciosamente al sistema.

Si te haces el hábito de actualizar tu software con frecuencia, reducirás significativamente la posibilidad de convertirte en víctima del ransomware. Algunos fabricantes lanzan actualizaciones de seguridad periódicas de rutina, como por ejemplo Microsoft y Adobe, pero también existen actualizaciones adicionales no programadas para casos de emergencia. Siempre que sea posible, habilita las actualizaciones automáticas, o ve directamente al sitio web del fabricante, ya que a los creadores de malware también les gusta hacer pasar sus creaciones como actualizaciones de software.

8. Usa un paquete de seguridad confiable

Siempre es una buena idea tener un software antimalware y un firewall que te ayuden a identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes para evadir la detección, por lo que es importante contar con ambas capas de protección.

En la actualidad, la mayoría del malware se basa en recibir instrucciones remotas para llevar a cabo sus actividades maliciosas. Si te cruzas con una variante de ransomware tan nueva que logra pasar el software antimalware sin que la detecte, es posible que quede bloqueada por el firewall cuando intente conectarse con su servidor de Comando y Control (C&C) para recibir instrucciones sobre el cifrado de tus archivos.

Si te encuentras en una posición en la que ya ejecutaste el archivo del ransomware sin ninguna de las precauciones antes mencionadas, tus opciones ya son mucho más limitadas. Pero puede ser que no todo esté perdido. Hay algunas cosas que puedes hacer que quizás ayuden a mitigar los daños, en particular si el ransomware en cuestión es Cryptolocker.

9. Desconéctate del Wi-Fi o quita el cable de red de inmediato

Si ejecutaste un archivo que sospechas que puede tratarse de un ransomware, pero aún no apareció la pantalla característica en tu computadora, si actúas muy rápido, quizá puedas detener la comunicación con el servidor C&C antes de que termine de cifrar tus archivos. Si te desconectaste de la red inmediatamente (¿dejé bien en claro que debe hacerse en ese preciso instante?), puedes llegar a mitigar el daño.

Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.

10. Usa Restaurar sistema para volver a un estado sin infecciones

Si la funcionalidad Restaurar sistema está habilitada en tu equipo con Windows, es posible que puedas volver a un estado sin infecciones. Pero, una vez más, debes ser más inteligente que el malware. Las últimas versiones de Cryptolocker pueden incluir la capacidad de borrar archivos de respaldo de la restauración, es decir que ya no estarán allí cuando intentes reemplazar la versión que dañó el malware.

Cryptolocker comenzará con el proceso de borrado cada vez que se inicie un archivo ejecutable, por lo que debes ser muy rápido, ya que los ejecutables pueden iniciarse como parte de procesos automatizados. En otras palabras, pueden ejecutarse sin tu conocimiento, como parte normal del funcionamiento de tu sistema Windows.

11. Retrocede la hora en el reloj de la BIOS

Cryptolocker en general fija el límite de tiempo en 72 horas para realizar el pago, tras lo cual el precio para descifrar los archivos sube significativamente. El precio puede variar debido a que Bitcoin tiene un valor bastante volátil.

Lo que puedes hacer es retroceder la hora en el reloj de la BIOS a un punto anterior a que se cumplan las 72 horas. Soy un poco reacia a dar este consejo, ya que para lo único que sirve es para evitar que pagues el precio más alto, cuando en realidad nosotros recomendamos firmemente no pagar el rescate.

Aunque el hecho de pagarles a los criminales puede llevarte a recuperar tus datos, hubo muchos casos en los que la clave de descifrado nunca llegó o no descifró los archivos. Además, ¡fomenta la conducta criminal! Ningún tipo de secuestro es una práctica comercial legítima, por lo tanto, los creadores de malware no tienen ninguna obligación de cumplir con lo acordado; pueden llevarse el dinero sin dar nada a cambio, ya que no existe ningún control ni sanción si no lo hacen.

Más información

Si eres cliente de ESET y te preocupa tu protección contra el ransomware o piensas que puedes ser un blanco, llama al número de atención al cliente de tu país o región. Te darán los últimos detalles para evitar y remediar un ataque.

Por último, cabe notar que el brote reciente de ataques de tipo ransomware generó una cobertura mediática desenfrenada, principalmente porque se aparta de la tendencia anterior del malware con motivación financiera, que solía pasar desapercibido y no dañaba los archivos. El ransomware ciertamente puede ser aterrador, pero también existen muchos problemas benignos que pueden provocar el mismo nivel de destrucción.

Es por eso que la mejor práctica siempre será (y siempre fue) protegerte del ransomware y de la pérdida de datos mediante backups de rutina. De esa forma, pase lo que pase, serás capaz de reiniciar tu vida digital rápidamente. Tengo la esperanza de que, si algo bueno puede surgir de esta tendencia del ransomware, es que comprendamos la importancia de realizar copias de respaldo regulares y frecuentes para proteger nuestros datos valiosos.