Nuevo Malware: el CryptoLocker

El ransomware no es, en general, el peor malware de todos. Sin embargo, hay una nueva variante llamada CryptoLocker que realmente hace lo que la mayoría de los otros ransomware

El ransomware no es, en general, el peor malware de todos. Sin embargo, hay una nueva variante llamada CryptoLocker que realmente hace lo que la mayoría de los otros ransomware intenta hacer: encripta el contenido de tu computadora utilizando una fuerte criptología.

El ransomware es una variedad de malware que, una vez que infecta tu máquina, encripta su información o la bloquea de alguna u otra forma. El malware luego informa al usuario que debe pagar para desbloquear los archivos. Por supuesto, nunca hay una absoluta garantía de que, aún pagando, te devolverán el control de tu PC. Probablemente no, probablemente sólo llenes los bolsillos de los estafadores.

CryptoLocker es ese tipo de amenaza que puede realmente arruinar tu semana, mes o año dependiendo de la importancia de tu información y de cuántas copias de seguridad tengas, claro. De modo que sí debes preocuparte, al menos un poco, por esta amenaza.

Ya van muchos usuarios que han pagado y nunca les devolvieron el control de su computadora, aunque algunos reportes indican que el grupo detrás del ataque comenzó a repartir las claves de cifrado la semana pasada.

Al parecer, actualmente hay diferentes grupos de criminales que utilizan este tipo de ataque. Escribí al respecto el mes pasado en el blog Threatpost.com. El malware encripta fotos, videos, documentos y luego provee a su víctima de un enlace con todos los archivos que ha bloqueado. Para bloquear utiliza la funcionalidad de encriptación RSA-2048, que protege a estos archivos con un código. Y el mensaje del malware les da 3 días para pagar a los usuarios. Sino lo hacen, amenazan con que aquella clave será eliminada para siempre y no se podrá recuperar nunca más.

cryptolocker-wp

Los atacantes demandan un pago de aproximadamente $300 a través de diferentes métodos de pago, que incluyen las Bitcoin. Tan potente es la amenaza que hasta el grupo estadounidense a cargo de Emergencias Informáticas ha emitido una advertencia al respecto. Este departamento de seguridad analiza y reduce el riesgo de las amenazas online. Al advertir que las infecciones de CryptoLocker iban en alza, avisaron de no pagar a los atacantes.

Este virus se expande a través de campañas de phishing, incluyendo algunas que se dan en negocios legítimos a través de mensajes de Federal Express o UPS. Algunas víctimas han dicho que CryptoLocker les apareció luego de un botnet. Según Costin Raiu, este malware ataca a usuarios de Estados Unidos e Inglaterra en especial, y a personas de India, Canadá, Australia y Francia como segunda opción.

CryptoLocker es ese tipo de amenaza que puede realmente arruinar tu semana, mes o año dependiendo de la importancia de tu información y de cuántas copias de seguridad tengas

Algunas versiones de CryptoLocker son capaces de afectar no solo archivos locales sino los almacenados en USBs, discos externos o en la nube. La institución norteamericana también advierte que el malware puede ir de máquina en máquina dentro de una red y por eso recomienda a aquellos usuarios contagiados que quiten las computadoras infectadas de las redes compartidas.

El destacado periodista de seguridad Brian Krebs informó la semana pasado que el grupo detrás de CryptoLocker ha detenido el “servicio” por 72 horas porque estaban perdiendo dinero y no sabían cómo hacer para que les paguen en Bitcoins o MoneyPak en el tiempo fijado. A veces el código no desaparece aún pasados los 3 días y, a cambio, los delincuentes suben el precio del desbloqueo hasta 10 veces más de lo acordado en primer término.

Lawrence Abrams, un experto en malware de BleepingComputer.com que es citado en el artículo de Krebs, dice que muchos negocios y personas no tenían otra opción que pagar y así lo hicieron, pero yo no estoy de acuerdo. Si les pagas a estos tipos, lo único que logras es animarlos a robar cada vez más. Lo mejor es siempre tener una copia de seguridad de tu máquina, realizando este proceso regularmente, y nunca dejar el disco externo adherido a la misma. Si te infectas, entonces tienes la opción de recurrir a tu copia de seguridad.

Algunas funciones de tu antivirus también son útiles ante estas situaciones, aunque advierte Krebs que algunos de estos productos eliminan la infección después de haber encriptado los archivos, por eso sería imposible para los usuarios pagar la “fianza”. Es interesante, los autores de CryptoLocker utilizan fondos de pantalla para introducirse en el sistema. Si la víctima quiere pagar y el antivirus ya ha removido la infección, es posible que uno acabe descargando voluntariamente el malware utilizando el enlace descripto en el wallpaper.

Los clientes de Kaspersky Internet Security están protegidos contra ataques como éste.

Consejos