La palabra ransomware viene de “ransom” o sea el rescate que se pide a cambio de regresar la información y "ware", como abreviación de software, que en este caso es un tipo de software malicioso o malware.
Para entender este fenómeno hay que situarnos en el contexto que tienen los entornos digitales actualmente, descritos por varios fenómenos:
- Cada vez existen más usuarios de sistemas informáticos y estos se utilizan para procesar y almacenar información que tiene un valor crítico para las personas y organizaciones.
- Esta información al tener un valor para las personas y organizaciones es un motivante para un posible atacante que busque capitalizar el robo de la información.
- Para efectuar el robo de la información se requiere de recursos para sustraerla y almacenarla lo que significa la necesidad de inversión por parte del atacante.
- Con la popularización de técnicas de cifrado robusto, que es difícil de romper, para un atacante no es necesario extraer la información del equipo de la víctima, lo cual requeriría de mucho ancho de banda para extraer —por medio de internet— grandes cantidades de información, grandes cantidades de almacenamiento para depositar la información robada, igual uso de recursos para regresar la información en caso de pago del rescate, uso de tiempo para eliminar del equipo de la víctima de forma segura (ver artículo sobre borrado seguro), etcétera. Un atacante puede cifrar la información en el mismo equipo de la víctima, y al no ser recuperable, para fines prácticos es inaccesible para la víctima, como si se hubiera robado.
- La existencia de medios de pago que facilitan la anonimización de las transacciones, como Bitcoin y otras criptomonedas, hacen más difícil que se identifique y detenga a un atacante.
El ransomware tiene varias formas de instalarse en los equipos de las víctimas, en algunos casos llamado “contagio” o “infección” y al ser una de las formas más lucrativas y rápidas que tiene un atacante para monetizar su esfuerzo, podemos asumir que seguirán creciendo los métodos y estrategias de infección; desde ejecutar un archivo, habilitar las macros para ver un archivo de office con una supuesta factura pendiente de pago de CFE, scripts enviados para “optimizar” tu equipo, etcétera.
La forma más sencilla de evitar el ransomware es evitar instalar, ejecutar o abrir cualquier archivo o documento que no estemos seguros de dónde vino, o que esperamos recibir pero que no requiere instalar nada en nuestro equipo. Si hay algún documento que nos solicite instalar algo o hacer alguna modificación a nuestro sistema, es conveniente pensarlo dos veces y consultar con un especialista, pues lo más probable es que se trate de un engaño.
Aquí hay un par de guías del sitio Decent Security que pueden ayudarnos a configurar nuestros equipos con Windows de forma segura:
https://decentsecurity.com/#/holiday-tasks/
https://decentsecurity.com/securing-your-computer/
Otro elemento importante para contrarrestar el ransomware es contar con respaldos de nuestra información. En este caso es importante considerar que los respaldos en línea, por medio de herramientas en la nube como One Drive, Dropbox o Google Drive no son la mejor opción al respecto, ya que podrían sincronizarse con los archivos cifrados y por lo tanto perder la información. Por ello es recomendable utilizar respaldos en medios removibles, como un disco duro portátil, que podríamos dejar en nuestra casa u oficina y respaldar una vez a la semana. Esta temporalidad dependerá de qué tanto generemos nueva información y cuánto sea lo máximo que estamos dispuestos a perder. Si queremos evitar al máximo la pérdida habría que reducir este periodo.
Según un estudio de IBM (http://www-03.ibm.com/press/us/en/pressrelease/51230.wss) las empresas han estado más dispuestas a pagar por la recuperación de sus archivos que los particulares, posiblemente por contar con seguros y otras coberturas que amparen los gastos del rescate. Aunque cabe mencionar que hay algunos casos donde han pagado el rescate y aun así no se ha recuperado la información. La recomendación general es no pagar el rescate, pues hacerlo vuelve redituable para los criminales ese negocio, fomentando que sigan los ataques, además de que como ya mencionamos, no hay garantía de recuperar la información.
Algunas autoridades han logrado incautar los equipos de algunos de estos delincuentes y han hecho públicas las llaves de cifrado de distintas versiones de malware, así que esta es otra opción para recuperar la información, solo hay que identificar el nombre del ransomware que ha afectado el equipo y la versión, ya que hay casos en los que se han generado varias generaciones del mismo ransomware y que tienen algunas características distintas.
Para recuperar los archivos hay varios métodos que hay que probar. No existe una solución única pero aquí hay algunas sugerencias:
- Antes que nada, hay que eliminar el malware del equipo, tu antivirus actualizado podrá ayudarte con esto;
- Utilizar el respaldo más reciente, con ello podemos recuperar gran parte de la información, el resto habrá que evaluar cuánto tiempo nos tomará tratar de recuperarlo contra el tiempo que nos tomaría rehacerlos nuevamente;
- Revisar si existen publicadas llaves de cifrado por parte de las autoridades o investigadores, lo que hará posible descifrar los archivos utilizando la clave correspondiente;
- Existe ransomware que cifra el disco completo y no deja entrar al sistema operativo, pero la mayoría cifra los archivos de forma individual, por lo que si tenemos algún archivo respaldado que podamos comparar con el archivo cifrado, utilizando algunas herramientas como se muestra a continuación, así podremos obtener la llave de cifrado y recuperar los datos.
Varias organizaciones se han unido para crear el sitio https://www.nomoreransom.org/ en el que encontramos varias soluciones para contrarrestar un ransomware; a continuación, explicaré algunos de los métodos.
En la sección https://www.nomoreransom.org/crypto-sheriff.php podremos identificar el tipo de ransoware que nos atacó, esto se efectúa subiendo un par de archivos cifrados por el ransomware para que la herramienta los identifique. Este sitio también permite subir el texto que muestra el ransomware, copiándolo y pegándolo para con ello identificar el ataque.
Una vez identificado podremos utilizar las herramientas para descifrar que proporciona la página. Al momento de escribir este artículo (diciembre de 2016) están listados con soluciones conocidas los siguientes ransomware:
- CRYSIS MARSJOKE/POLYGLOT
- WILDFIRE
- CHIMERA
- TESLACRYPT
- SHADE
- COINVAULT
- RANNOH
- RAKHNI
En la liga https://www.nomoreransom.org/decryption-tools.html podremos encontrar varias herramientas generadas por distintos fabricantes como Kaspersky Lab e Intel. Cada una de ellas cuenta con una guía fácil de cómo ejecutar el proceso y nos lleva paso a paso para recuperar la información. Cada una de las herramientas funciona para un tipo de ransomware y sus variantes, así que es importante primero la identificación para elegir la herramienta correcta.
Aquí la lista completa de las herramientas disponibles y los tipos de ransomware que pueden descifrar:
|
Herramienta |
Puede descifrar |
Ligas de descarga |
Guías para utilización |
|
Rannoh Decryptor (updated 20-12-2016 with CryptXXX v3) |
CryptXXX versions 1, 2 and 3. Marsjoke aka Polyglot; Rannoh; AutoIt; Fury; Crybola; Cryakl; |
DESCARGAR |
|
|
WildFire Decryptor |
Wildfire |
DESCARGAR DESCARGAR |
|
|
Chimera Decryptor |
Chimera |
DESCARGAR |
|
|
Teslacrypt Decryptor |
TeslaCrypt v3 y v4 |
DESCARGAR DESCARGAR |
|
|
Shade Decryptor |
Puede descifrar archivos con las siguientes extensiones: .xtbl, .ytbl, .breaking_bad, .heisenberg. |
DESCARGAR DESCARGAR |
|
|
CoinVault Decryptor |
Coinvault Bitcryptor. |
DESCARGAR |
|
|
Rakhni Decryptor (updated 14-11-2016) |
Crysis; Chimera; Rakhni; Agent.iih; Aura; Autoit; Pletor; Rotor; Lamer; Lortok; Cryptokluchen; Democry; Bitman (TeslaCrypt) version 3 y 4. |
DESCARGAR |
|
|
Jigsaw Decryptor |
Jigsaw Ransomware |
DESCARGAR |
|
|
Trend Micro Ransomware File Decryptor |
CryptXXX V1, V2, V3* CryptXXX V4, V5 Crysis TeslaCrypt V1** TeslaCrypt V2** TeslaCrypt V3 TeslaCrypt V4 SNSLocker AutoLocky BadBlock 777 XORIST XORBAT CERBER V1 Stampado Nemucod Chimera LECHIFFRE MirCop Jigsaw Globe/Purge DXXD Teamxrat/Xpan Crysis DemoTool |
DESCARGAR |
|
|
Emsisoft NMoreira Decryptor |
NMoreira |
DESCARGAR |
|
|
Emsisoft Ozozalocker Decryptor |
Ozozalocker |
DESCARGAR |
|
|
Emsisoft Globe Decryptor |
Globe |
DESCARGAR |
|
|
Emsisoft Globe2 Decryptor |
Globe2 |
DESCARGAR |
|
|
Emsisoft FenixLocker Decryptor |
FenixLocker |
DESCARGAR |
|
|
Emsisoft Philadelphia Decryptor |
Philadelphia |
DESCARGAR |
|
|
Emsisoft Stampado Decryptor |
Stampado |
DESCARGAR |
|
|
Emsisoft Xorist Decryptor |
Xorist |
DESCARGAR |
|
|
Emsisoft Nemucod Decryptor |
Nemucod |
DESCARGAR |
|
|
Emsisoft Gomasom Decryptor |
Gomasom |
DESCARGAR |
|
|
Linux.Encoder Decryptor |
Linux.Encoder.1 Linux.Encoder.3 |
DESCARGAR DESCARGAR |
El ransomware evoluciona rápido. Recientemente se han visto ataques que ofrecen brindar las llaves de cifrado para recuperar la información a cambio de que infectes a conocidos. Para el siguiente año existen varias predicciones que prevén que habrá más formas de ransoware y que los ataques serán cada vez más sofisticados, algunos dirigidos a determinado perfil y con posibilidad de evolucionar de forma automática (http://mobile.itbusinessedge.com/blogs/data-security/expect-an-evolution-in-ransomware-in-2017.html).
Como en todo, la prevención es la mejor opción, por lo que contar con buenas prácticas para navegar en Internet, no utilizar software de dudosa procedencia, contar con un antivirus que pueda detectar los tipos de ransomware más conocidos y realizar respaldos frecuentes, son las mejores alternativas para evitar pérdidas de información.