TeslaCrypt: tercer round

Una nueva versión del ransomware TeslaCrypt afectó recientemente a una gran cantidad de dispositivos en Japón y en los países nórdicos.

El desarrollo de malware y nuestros intentos de combatirlo a veces nos recuerda a una de estas complejas series de televisión donde uno puede seguir la evolución de los “personajes” y ver cómo adquieren nuevas habilidades, superan dificultades y consiguen nuevos logros. Parece que ahora ha llegado la tercera temporada de la serie TeslaCrypt.

TeslaCrypt surgió por primera vez en febrero del 2015, cuando este troyano comprometió los ordenadores de algunos grupos de jugadores cifrando sus archivos. Después se pidió un rescate de alrededor de 500 dólares para que los usuarios pudieran recuperar sus datos.

Este nuevo troyano fue creado con las bases de otro peligroso ransomware llamado CryptoLocker. En su creación, los delincuentes utilizaron un algoritmo de cifrado algo débil que podía ser hackeado. El troyano almacenaba claves de descifrado en una carpeta separada del disco duro de la víctima, por lo que se podría encontrar sin esfuerzo. Al final, los usuarios del foro BleepingComputer crearon el software TeslaDecoder para ayudar a las víctimas a descifrar sus archivos sin pagar ningún rescate.

Sería maravilloso si, una vez acabada esta primera temporada, habiendo fracasado, la serie llegara a su fin. Pero los cibercriminales liberaron y expandieron TeslaCrypt 2.0, una versión actualizada y mejorada, que fue detectada por Kaspersky Lab en julio del 2015. Esta versión utiliza un esquema de cifrado mejorado significativamente, que sigue siendo imposible de hackear. Por otra parte, este malware actualizado no almacena las claves en una carpeta separada, sino que, en su lugar, utiliza el registro del sistema.

Las víctimas que han encontrado de alguna manera las claves, pueden utilizar el TeslaDecoder para recuperar sus archivos. Pero sin la clave, este útil software queda totalmente huérfano.

Hace poco, ha empezado una nueva “temporada” de esta epidemia: TeslaCrypt 2.2. entró en escena. Ahora mismo está en marcha una campaña de correo malicioso: los usuarios de todo el mundo reciben falsas notificaciones de cobro. Los que caen en la trampa instalan el exploit kit Angler, que descarga la nueva versión de TeslaCrypt. Muchos usuarios corporativos caen en este tipo de e-mails falsos, ya que es bastante común que un empleado se olvide de una factura entre miles.

Además, los cibercriminales lanzaron una campaña a gran escala para infectar páginas de WordPress, incluyendo el blog del periódico The Independent, de Reino Unido. Se volvió a culpar de nuevo a Angler por este incidente. El exploit descargaba TeslaCrypt u otro troyano llamado BEDEP, que a su vez descargaba el infame CryptoLocker.

Según Trend Micro, el blog se infectó el 21 de noviembre. Los empleados resolvieron el problema y, hace poco (el 9 de diciembre) redirigieron a los usuarios a la página principal del periódico.

Los representantes de The Independent declararon que solo unas pocas personas habían visitado la página infectada ya que era bastante antigua y no hubo señales de ningún infectado por el troyano en su ella. Sin embargo, la cifra total de usuarios que fueron redirigidos a la página infectada con el troyano fue mayor de 4,000 al día. Si estos no contaban con las nuevas actualizaciones de Adobe Flash, es muy probable que Angler utilizara sus vulnerabilidades e infectara sus sistemas.

Esta vez los cibercriminales han cambiado su objetivo, dirigiéndose hacia las empresas, no a los usuarios domésticos. Según Heimdal Security, este nuevo ransomware aterroriza a las empresas europeas, y también se observa mucha actividad en Japón. Es imposible saber qué país será la próxima víctima.

Para poder protegerte contra el ransomware o al menos disminuir el daño potencial, te recomendamos seguir estos consejos:

1. Utiliza soluciones de seguridad actualizadas. Por ejemplo, Kaspersky Internet Security y Kaspersky Total Security incorporaron la herramienta System Watcher, que no permite al ransomware cifrar los datos, por lo tanto, hace que los usuarios sean invulnerables a TeslaCrypt.

2. Instala siempre las actualizaciones de software. En el software de oficina, los navegadores y en Adobe Flash podemos encontrar una gran variedad de bugs y vulnerabilidades. Para solucionar estas brechas de seguridad, se lanzan continuamente actualizaciones y parches. Las últimas actualizaciones aumentan en gran medida la seguridad de tus dispositivos.

3. Haz copias de seguridad regularmente. Por ejemplo, Kaspersky Total Security puede minimizar tus esfuerzos en este sentido. Aunque todas las medidas de seguridad fallen y tu sistema resulte infectado, con la ayuda del antivirus podrás limpiar el sistema y restaurar tus archivos desde las copias de seguridad.

Si eres víctima de un ransomware y buscas una solución a tu problema, lamentamos comunicarte que no existen soluciones universales. Si tienes una clave, puedes usar las herramientas que hemos mencionado antes como: TeslaDecoder o alguna de las herramientas similares de Cisco.

Sin una clave, es casi imposible poder solucionarlo. Sin embargo, te recomendamos que no pagues el rescate, si es posible. Si la gente no paga, el negocio del ransomware no dará beneficios y los cibercriminales estarán menos motivados para lanzar una nueva temporada de la serie de ransomware.

Consejos