Cuando te afecta un ransomware, es normal que te preguntes si valdría la pena pagar el rescate para recuperar tu vida electrónica con la menor molestia posible. En Kaspersky Lab no siempre te recomendamos que pagues el rescate, y en el caso del nuevo ransomware llamado Ranscam, ni lo pienses: te borra los archivos hagas lo que hagas.
Threatpost amplía la información del nuevo malware y destaca que, en comparación con la eficiencia de los últimos ransomware, Ranscam parece ser perezoso o poco competente. Un martillo entre bisturíes.
Por desgracia, un martillo es un arma bastante destructiva. Mientras que el objetivo del ransomware más sofisticado es sacarles el dinero a sus víctimas para quizá luego restaurar sus archivos o los archivos del sistema que cifró durante el ataque, Ranscam es solo un scam (estafa, en español).
Cómo funciona Ranscam
Lo primero que los usuarios verán una vez el malware se haya infiltrado en sus sistemas es la nota de rescate. Se parece a las notas de rescate de otros tipos de ransomware, pero con una pequeña diferencia. En lugar de dirigir a los usuarios a una ubicación externa donde deben verificar el pago del rescate, esta nota tiene un botón: “He realizado el pago. Verifíquelo, por favor.”
En realidad, la diferencia es muy importante. Cuando un usuario haga click en el botón, aparecerá un mensaje que informa que no se ha verificado el pago y que se borrará un archivo cada vez que se haga click en el botón sin haber pagado a los creadores de Ranscam. Seguramente es para poner nerviosos a los usuarios y así persuadirlos de que paguen.
La verdad es que se trata de un farol, pero no son buenas noticias para la víctima. El ransomware afirma que ha movido los archivos de la víctima a una “partición cifrada y oculta”, pero en realidad los había borrado antes de mostrar el mensaje de rescate. Así que no hay forma de recuperarlos.
Como explican los investigadores de Cisco’s Talos Security Intelligence y de Research Group, el hecho de que simplemente borren los archivos significa que los delincuentes no necesitan aprender los puntos clave del cryptoblocking y el locking.
A día de hoy, no se ha asociado a Ranscam con ningún ataque importante, este solo sirve como recordatorio de que pagar el rescate puede ser inútil (además de que el pago del rescate refuerza la idea de los criminales de que el ransomware es una buena forma de ganar dinero).
Es imposible recuperar los archivos que Ranscam ha borrado. La única forma de protegerte es ser proactivo. Así que te recomendamos seguir unos sencillos pasos:
- No abras archivos adjuntos ni hagas click en enlaces sospechosos. No se sabe demasiado acerca de cómo se difunde Ranscam, pero los sospechosos habituales son los archivos adjuntos en e-mails y páginas web maliciosas o hackeadas. Así que, si no estás 100 % seguro, no hagas click.
- Haz copias de seguridad a menudo y guárdalas en un dispositivo sin conexión. Si algún ransomware cifra o borra tus archivos, no habrá problema porque tendrás copias.
- Utiliza una solución antivirus fiable. Kaspersky Internet Security detecta Ranscam con el nombre de Trojan-Ransom.MSIL.Agent e impide que el ransomware le haga algo a tus archivos.