Qué es el virus ransomware

El RansomWare es un software malintencionado, es decir, programa malicioso. El cual secuestra los datos de tu ordenador hasta que pagas una tarifa de rescate al creador del virus.

Eliminar el virus es relativamente senzillo, lo complicado, por no decir imposible, es recuperar los datos. Así que es muy importante identificarlo cuando se nos da la oportunidad para poder prevenirlo.

Lo que hace el RansomWare es bloquear el acceso a tus archivos y te pide un rescate monetario por recuperarlos. Para bloquearlos los encripta, los esconde, impide que puedan ser vistos/abiertos.

Normalmente atacan los archivos más sensibles. Ya sean documentos de Word, PDF, fotografías y vídeos… Cada desarrollador de virus decide qué archivos atacar.

La tarifa que te piden para desbloquear tus propios archivos suele ascender a cifras de miles de euros. Siempre usando la moneda virtual Bitcoin para proteger su identidad.

El mismo nombre lo indica. “Ransom” significa rescate en inglés y “ware” es el acortamiento de Software.

Esos virus van evolucionando, por ejemplo a dia de hoy ya borran primero las copias de seguridad, todo el sistema de shadow copy de windows, para recuperar versiones anteriores y luego encriptan los archivos.

Lo MAS FUNDAMENTAL para estar seguros, es disponer de copias de seguridad no conectada al ordenador, porque en el momento de atacar el virus no puedas acceder al disco para encriptar. Entonces, se necesita de dun disco externo, conectar, copiar y desconectar para guardar.

Cómo funciona el virus ransomware

Una vez el virus den Ransomware consigue entrar en tu ordenador e infectar tus archivos para que no puedas abrirlos, te aparece un mensaje de aviso conforme tu ordenador ha sido infectado. En el mismo mensaje, te piden que pagues por rescatar tus archivos y así liberar tu ordenador de los virus.

Por lo general te piden que hagas una transferencia con dinero real, aunque de un tiempo hacia aquí se han visto casos donde piden bitcoins u otro tipo de criptomonedas.

Dado la magnitud de virus Ransomware que corren, se han desarrollado a su vez códigos genéricos para rebatir el virus. Aunque no siempre funcionan, otras muchas veces nos son de gran utilidad y puede que nos hagan recuperar nuestros archivos. Aun que por la propia experiencia solo un 5% de los virus ramsomware hemos podido recuperar los datos. Y siempre con versiones muy viejas de dichos virus. Ya que las nuevas ya usan ecuaciones mas complejas para que no se pueda.

¿Hay que pagar para recuperar mis archivos infectados del cirus ransomware?

Las recomendaciones de los expertos y de las autoridades siempre ha sido y será no ceder a los chantajes de los hackers, es decir, no pagar. Puesto que si dan con su objetivo, no pararan nunca de hacer lo que hacen.

Aun así son muchos los usuarios que acaban cediendo y pagando por miedo a no recuperar sus archivos, perderlos, que se viralicen o cualquier otra razón.

Las empresas suelen ceder mucho más que los particulares a la hora de pagar. Algunas han llegado a desembolsar cifras millonarias por recuperar sus archivos.

La cuestión es que pagar no te asegura ni te garantiza recuperar tus archivos. Así que podría ser que pagaras y ni así recuperaras lo que es tuyo. Tenemos algún cliente que ha pagado más de dos mil euros en bitcoinsy, después de ello, le mandaron un programa para desencriptar. Al abrir dicho programa le pedían introducir una contraseña. Contraseña que al contactar con ellos le notificaron que valía dos mil euros más. En este caso el cliente, después de decidir no pagar por la contraseña, perdió los archivos y mas de dos mil euros.

Por lo que ahora os contaremos cómo el virus llega a nosotros y cómo debemos aprender a identificarlo para no dejarlo entrar y actuar.

¿Cómo identificar y prevenir el ransomware?

Ransomware se transmite como un troyano o como un gusano.

La principal forma que tiene el Ransomware para acceder a nuestros archivos es vía correo electrónico.

Así pues, nuestra mayor recomendación es que no abran ningún correo electrónico que les parezca raro o que no sepan qué es. Sobretodo dando énfasis a no abrir ningún documento adjunto al correo.

Su intención es confundirte. Primero intentaran sacarte tu lista de contactos para luego mandarte un correo firmado en nombre de un contacto tuyo. Así le dan credibilidad al correo. Luego pondrán al correo algún texto familiar, siempre con una incógnita que debes resolver al abrir el archivo. Por ejemplo: “éste albarán no corresponde…” y un archivo adjunto que debería ser el albarán. Entonces, nuestro instinto es abrir el archivo, pero para nuestra sorpresa el archivo está vacío. Una vez en este punto, ya tenéis el virus dentro, ya habéis sido infectados.

Hay distintos procedimientos con los que actúa el virus. Algunos empiezan a revisar archivo por archivo en orden alfabético y solo encriptando lo más personal. Otros no hacen nada al momento, pero se activan al cabo de un tiempo para que no relaciones el virus con el correo. Otros se activan al reiniciar el equipo.

Así que a la minima sospecha o duda sobre algún correo, os recomiendo llevar el ordenador a un informático de confianza para que primero saque el disco, copie los datos, vuelva a poner el disco e intente limpiar el ordenador. Ese procedimiento es el más seguro para proteger vuestros archivos del virus ransomware.

Aquí un ejemplo de cómo se muestran en los correos electrónicos y cómo identificarlos según el remitente:

También puede darse el caso que los Ransomware lleguen a nuestro ordenador a través de alguna descarga que hayamos hecho. Por tanto, si nos queremos descargar cualquier cosa de internet (películas, documentos, fotos, series, etc.) hay que hacerlo desde una página de confianza y que conozcamos.

Lo ideal es ser cuidadoso con lo que hacemos por internet. Lo que abrimos, descargamos, guardamos.

¿Alguna vez habéis sido infectados por Ransomware?

Los ataques ransomware más conocidos

Reveton: desarrollado y expandido por Europa en el año 2012. Mandaban correos electrónicos en nombre de las fuerzas de autoridad diciendo que debían bloquear el dispositivo.

CryptoLocker: Aparece en el 2013. Una infección muy difícil de reparar. Te bloqueaba una serie de archivos y te pedía un rescate en menos de 3 días o la cifra se incrementaría considerablemente.

CryptoLocker.F y Torrent Locker: Aparece en septiembre del 2014 y empieza atacando a Australia. Lo hacía a través de correo electrónico y pidiendo a los usuarios que abriesen una página web que tenían enlazada al correo.

CryptoWall: una variedad de de ransomware surgida en el 2014 dirigida a los sistemas operativos de Microsoft Windows.

TeslaCrypt: un ransomware considerado eliminado. La empresa ESET proporciona una herramiento gratuita para abolir la infección.

Peyta: creado y descubierto en el año 2016. En 2017 se desarrolla un ciberataque a escala mundial. En especial interés de atacar a las empresas de Rusia y Ucrania e incluso al Banco Nacional de Ucrania.

Mamba: año 2017. Nuevo ransomware de cifrado de disco completo en lugar de uno basado en archivos convencionales.

WannaCry: aparece en mayo del 2017 con origen estadounidense atacando a sistemas de Windows que no estaban actualizados por aquel entonces. Atacó a más de 300 mil ordenadores en más de 150 países.

Espero que este post os haya servido y sido útil para identificar y prevenir el virus informático ransomware. Cualquier duda podéis dejarla en los comentarios más abajo.