El ransomware WildFire fue extinguido

No es ningún secreto: los ransomware son una amenaza grave. Y no desaparecerán en un futuro próximo (con algunas excepciones, claro).

Buenas noticias: esta es la historia de una excepción. Hace poco, Kaspersky Lab ayudó a la policía holandesa a desactivar otra clase de ransomware: WildFire (el cual aterrorizaba principalmente a ciudadanos de Holanda).

WildFire era uno de esos troyanos avariciosos que quería sacarte el dinero rápidamente y que pedía una compensación adicional si se retrasaban los pagos. En este caso, el malware pedía 300 dólares en un plazo de ocho días. Una vez pasado dicho plazo, la cifra se triplicaba.

La Unidad Nacional de Delitos Tecnológicos de la policía holandesa se incautó de un servidor de mando y control que contenía 1 600 claves de descifrado. Utilizamos la información para crear una nueva herramienta de descifrado, la cual ya hemos publicado en nomoreransom.org, noransom.kaspersky.com y support.kaspersky.com.

La policía holandesa remplazó el servidor malicioso por otro que envía notificaciones a todas las víctimas de WildFire en las que se explica que ya pueden descargar la herramienta de descifrado de forma gratuita.

Locked out of your files by #ransomware? Check out #nomoreransom site for help & tips https://t.co/jtkXL6nWsB pic.twitter.com/1i6NNtD5so

— Kaspersky Lab (@kaspersky) July 25, 2016

Demos un paso atrás

Desde el comienzo, el objetivo de WildFire eran los holandeses. De hecho, el 90 % de las víctimas eran de Holanda.

WildFire se extendió mediante correos spam que, con un holandés perfecto, notificaban a las usuarios de que una compañía de transporte no había podido entregar un paquete. El mensaje contenía un enlace para descargar un formulario para que el destinatario reprogramar la entrega. El sitio web tenía un nombre de dominio holandés y parecía muy convincente.

Las víctimas visitaban la web, descargaban el documento, lo abrían, y, al hacerlo, activaban unas macros maliciosas que descargaban y ejecutaban WildFire. Como señal de las intenciones de los delincuentes, el código de las macros incluía la letra de la canción “Money” de Pink Floyd (así como algunas variantes con nombres en polaco).

Cómo protegerte

Si solo existiera una clase de malware y un vector, la ciberseguridad sería pan comido. Por desgracia, no es así y existen millones de amenazas más. Para permanecer a salvo, sigue nuestros consejos:

1. Si eres víctima de WildFire, descarga un descifrador desde nomoreransom.org. El portal también contiene herramientas de descifrado para decenas de otros tipos de ransomware.

2. Después de descifrar tus archivos, analiza tu PC. Puede que WildFire no sea el único malware que ha atacado tu sistema. Puedes hacer un análisis con la herramienta gratuita Kaspersky Virus Removal Tool.

10 tips to protect your files from ransomware https://t.co/o0IpUU9CHb #iteducation pic.twitter.com/I47sPIiWFF

— Kaspersky Lab (@kaspersky) November 30, 2015

3. WildFire se entregaba mediante e-mails fraudulentos. Es por ello que te recomendamos que comprendas cómo funciona el phishing. La vigilancia es clave: si no has adquirido nada, ¿quién te envió el paquete? Un paquete inesperado no siempre significa algo malo, pero el misterio debería mantenerte alerta ante la posibilidad de un fraude. Si puedes, abre los archivos sospechosos en una máquina virtual.

4. Si algún malware se coló en tu sistema, significa que otro también podría conseguirlo. Por eso es tan importante proteger tu sistema con una buena solución antivirus. Claro, nosotros somos parciales con nuestro producto, Kaspersky Internet Security, pero, independientemente de tu elección, recomendamos a todos que usen un software de seguridad en todos sus dispositivos conectados: instálalo, actívalo y mantenlo actualizado.