Jesús Vigo examina el virus CryptoWall, sus efectos en sus datos y la mejor manera de proteger su ordenador de esta infección de ransomeware.
Los virus que infectan las computadoras son tan comunes como las hormigas que invaden la mesa de picnic – tarde o temprano, simplemente va a suceder. La realidad que rodea al malware es que está aquí para quedarse. Cuanto más impregne nuestra conciencia cotidiana la Internet de los objetos (IO), otorgando características inteligentes a los objetos cotidianos, mayor será la afluencia de malware.
Un entorno tan rico en objetivos es precisamente en el que se desarrolla la mayoría de los programas maliciosos. Cuantos más objetivos haya, mayores serán las posibilidades de obtener resultados (o de destruirlos), sea cual sea la motivación detrás del malware, más se considera mejor que menos.
Esta es la razón por la que virus como CryptoWall (y su predecesor, el ya desaparecido CryptoLocker) están preparados para golpear a los consumidores y a las empresas con la misma intensidad. Con Internet como su punto de distribución, todos y cada uno de los escritorios Windows que no están completamente protegidos probablemente sentirán el dolor de la carga útil de CryptoWall a través de una infección directa o indirecta.
A continuación se presentan algunas preguntas comunes que he recibido al hablar con las víctimas de la infección y cómo explicar mejor qué es este virus, qué hace el virus y cuál es la mejor manera de proteger sus sistemas contra él.
¿Qué es CryptoWall?
CryptoWall está clasificado como un caballo de Troya, conocido por enmascarar su carga viral a través del disfraz de una aplicación o archivo aparentemente no amenazante. Su carga útil consiste en cifrar los archivos de los equipos infectados en un esfuerzo por extraer dinero para la clave de descifrado.
CryptoWall y virus similares también se conocen como «ransomware», ya que la infección ofrece al usuario final un medio para eliminar la amenaza y recuperar todos sus archivos a cambio de pagar un rescate. Después de pagar, el usuario puede descargar y ejecutar un archivo y/o aplicación para limpiar la infección o, en este caso, descifrar los archivos cifrados para devolverlos a un estado de funcionamiento.
¿De dónde viene?
Geográficamente hablando, eso es desconocido a la fecha de este escrito. Lo que se sabe con respecto a los orígenes de la infección es que CryptoWall se propaga más típicamente a través del correo electrónico como archivo adjunto y de sitios web infectados que transmiten el virus, también conocido como descarga desde un disco duro.
Además, CryptoWall ha sido enlazado a algunos sitios de anuncios que publican publicidad para muchos sitios web comunes que los usuarios visitan diariamente, lo que difunde aún más su distribución.
¿Cómo infecta un equipo?
El proceso de infección, como se dijo anteriormente, es bastante estándar para un virus. Sin embargo, una vez que se apodera del equipo host, comienza por establecer una conexión de red a servidores aleatorios, donde carga información de conexión como la dirección IP pública, la ubicación y la información del sistema, incluido el sistema operativo.
A continuación, el servidor remoto generará un par de claves RSA aleatorias de 2048 bits que se asocia con el equipo. Copia la clave pública al ordenador y comienza el proceso de copiar cada archivo en su lista predeterminada de extensiones de archivo compatibles. A medida que se crea una copia, se cifra utilizando la clave pública y el archivo original se elimina del disco duro.
Este proceso continuará hasta que todos los archivos que coincidan con los tipos de archivo soportados hayan sido copiados y encriptados. Esto incluye archivos que se encuentran en otras unidades, como unidades externas y redes compartidas; básicamente, cualquier unidad a la que se le haya asignado una letra de unidad se añadirá a la lista. Además, el almacenamiento basado en la nube que almacena una copia local de los archivos en la unidad se verá afectado, y los cambios se propagarán a la nube a medida que se cambien los archivos.
Finalmente, una vez que el proceso de encriptación haya terminado, CryptoWall ejecutará algunos comandos localmente para detener el servicio Volume Shadow Copy Service (VSS) que se ejecuta en todas las versiones modernas de Windows. VSS es el servicio que controla la copia de seguridad y la restauración de datos en un equipo host. También controla el versionado de archivos, una característica introducida en Windows 7 que mantiene el historial de los cambios realizados en los archivos. El archivo puede ser devuelto o restaurado a una versión anterior en caso de que se produzca un cambio no intencionado o un evento catastrófico que provoque la modificación de la integridad del archivo. El comando ejecutado por el virus detiene el servicio por completo y también agrega el argumento de comando para borrar/eliminar la caché existente, lo que hace aún más difícil recuperar archivos a través del versionado o la restauración del sistema.
¿Sabré si mi equipo está infectado?
Hay dos signos reveladores que indican que CryptoWall ha comprometido un ordenador central.
- Al intentar abrir ciertos archivos, como por ejemplo.doc,.xls o.pdf, los archivos se inician con el programa correcto; sin embargo, es posible que los datos sean confusos o que no se muestren correctamente. Además, es posible que se acompañe un mensaje de error al intentar abrir archivos infectados.
- La indicación más común será la aparición de tres archivos en la raíz de cada directorio que contenga archivos que fueron encriptados por CryptoWall. DECRYPT_INSTRUCTION.txtDECRYPT_INSTRUCTION.htmlDECRYPT_INSTRUCTION.url
Al hacer clic en cualquiera de estos archivos que queden tras la infección de CryptoWall, el usuario final recibirá las instrucciones paso a paso necesarias para llevar a cabo el pago del rescate.
El archivo HTML tendrá un título que indica la cantidad de tiempo que queda en el rescate y cuánto dinero se está solicitando como pago. Típicamente, la cantidad del rescate comienza en $500 (USD), y el temporizador de cuenta regresiva proporciona un período de tres días para hacer llegar el pago al solicitante.
Después de que el temporizador haya llegado a cero, el título cambiará. La nueva cantidad solicitada se duplicará a $1,000 (USD) y el temporizador proporcionará una fecha y hora límite. Por lo general, el plazo es de aproximadamente una semana, e indicará que si el pago no se recibe antes de la hora límite, el servidor remoto que alberga la clave privada y la aplicación de descifrado para descifrar sus archivos se eliminará automáticamente, lo que hará que sus archivos sean irrecuperables.
¿Cuáles son mis opciones si mi equipo está infectado con CryptoWall?
Después de haber confirmado la infección con CryptoWall, el siguiente paso para el usuario final es decidir si está dispuesto a pagar el rescate para recuperar sus datos, o si no va a pagar y perder el acceso a sus datos por completo.
Si decide pagar el rescate, continúe leyendo. Si decide no pagar el rescate, vaya a la siguiente sección para ver algunos pasos útiles que pueden o no permitirle recuperar sus archivos.
Pagar el rescate es un ejercicio en sí mismo. Desafortunadamente, el monto del rescate debe ser pagado en Bitcoin, una moneda digital que se utiliza para comprar bienes y servicios, similar a la moneda estadounidense. Sin embargo, debido a su falta de regulación y a la falta general de aceptación, Bitcoin es un nicho de mercado y no es tan común como la moneda estadounidense.
A la dificultad de adquisición se añade el hecho de que muchas de las bolsas que aceptan moneda estadounidense para Bitcoins tienen compras limitadas de cantidades mayores de Bitcoin. También hay políticas empresariales reforzadas que restringen aún más la acumulación de la cantidad necesaria de Bitcoins para pagar el rescate. Muchos de estos cambios se han producido como resultado directo del virus CryptoWall, y se sabe que algunos intercambios cancelan transacciones y restringen las cuentas sospechosas de utilizar sus servicios para pagar el rescate.
Aunque es difícil, todavía es posible abrir una cuenta en una bolsa para empezar a financiar la compra de Bitcoins para pagar el rescate en el tiempo asignado. Si ni el tiempo ni la tecnología están de su lado, otra opción viable es buscar los servicios de un consultor de TI con experiencia en esta materia. Es posible que puedan ayudarle en el proceso general de recuperación de sus datos e incluso que puedan hacerlo sin incurrir en ninguna penalización por falta de pago dentro del plazo especificado.
He decidido no pagar el rescate. ¿Se pueden recuperar mis archivos de otra manera?
Decidir no pagar es un argumento justo, especialmente si la cantidad solicitada vale más que el valor de los datos. Tal vez por principio, usted siente que no debería tener que pagar. Independientemente de las razones, hay algunas cosas que los usuarios finales pueden hacer para ver si sus archivos son recuperables sin pagar. Por favor, tenga en cuenta que se trata de un gran SI, y la mayoría de los casos resultará en la pérdida de datos por falta de pago, mientras que aquellos que paguen dentro del plazo podrán recuperar sus datos mediante el uso de la aplicación de clave privada y descifrador proporcionada.
Con esta cláusula de exención de responsabilidad, el método más eficaz para recuperar sus archivos es utilizar una copia de seguridad. Si se han realizado copias de seguridad de los archivos con regularidad, conecte la unidad de copia de seguridad a un equipo no infectado para comprobar los archivos. Si están ahí y no están infectados, simplemente limpie el equipo infectado de CryptoWall y podrá volver a conectar la unidad para restaurar sus datos.
Si existe una copia de seguridad basada en la nube, dependiendo del proveedor de servicios, es posible que pueda desinfectar el equipo antes de restaurar los archivos desde la nube. Sin embargo, como ya se ha dicho, algunos servicios cloud almacenan una copia local de los datos en el host, como Dropbox, por ejemplo. En estos casos, la mayoría de los servicios en la nube ofrecen versionado de archivos como una forma de protección adicional contra modificaciones de archivos por error. Al utilizar esta función después de desinfectar el equipo, podrá hacer retroceder un cambio de archivo a la fecha/hora anterior a la infección.
Si no se dispone de ninguna copia de seguridad -local o basada en la nube-, la única posibilidad de recuperación de archivos residirá en el VSS, en la restauración de versiones de archivos anteriores o en la restauración del sistema. Dado que gran parte del virus CryptoWall está automatizado, hay ocasiones en las que un comando no puede ejecutarse debido a un problema de recursos del sistema o a una aplicación colgada. Aunque es raro, en estos casos, la recuperación puede ser posible iniciando una restauración del sistema a una hora/fecha anterior a la infección. Tenga en cuenta que ésta es la excepción, no la regla en promedio, pero cada situación debe manejarse caso por caso.
Además, puede intentar usar el Explorador de sombras para intentar restaurar uno o dos archivos primero para probar si este método funciona para usted. Si lo hace, recuerde limpiar primero el equipo para deshacerse de todas las infecciones antes de intentar restaurar todos sus datos. Si el sistema no se limpia, sólo intentará encriptar los archivos de nuevo – y esta vez, puede tener éxito en detener VSS y limpiar la caché.
¿Hay medidas que puedo tomar para proteger mis computadoras?
Sí, los hay. Hay varios pasos que deben seguirse en todo momento, independientemente del riesgo de infección. Debe tener una aplicación antivirus activa instalada con los archivos de definición de virus más recientes. También debe tener un analizador de malware, preferiblemente con capacidades de análisis activo y actualizado con los archivos de definición más recientes.
Con su(s) computadora(s) protegida(s), pasamos a uno de los mayores problemas: Copia de seguridad o, en algunos casos, falta de ella. Un sistema de copia de seguridad adecuado con una programación de copia de seguridad local y basada en la nube hará todo lo posible para proteger sus datos. Incluso cuando el propio sistema está comprometido, puede contar con la posibilidad de restaurar sus datos, según sea necesario.
Otras consideraciones para la protección incluyen las prácticas seguras de Internet. No visite sitios web cuestionables, nunca haga clic en los enlaces que se encuentran dentro de los correos electrónicos y, por supuesto, nunca proporcione a nadie ningún tipo de información de identificación personal en salas de chat, foros, foros de discusión o sitios de medios sociales.
Por último, considere la posibilidad de habilitar políticas de restricción de software si es administrador de sistemas en una red empresarial o si utiliza una aplicación de libre acceso como CryptoPrevent para bloquear muchas de las vías a las que CryptoWall recurre para afianzarse en su equipo.
Los virus, sin importar si están atacando sus archivos o robando sus credenciales bancarias, son molestos. Como sociedad, tendremos que seguir lidiando con ellos a medida que las brechas digitales se reduzcan lentamente y nuestras vidas conectadas se extiendan más allá.
Aunque puede haber poco recurso una vez infectado, hay mucho en el reino de las posibilidades que se pueden hacer para limitar nuestra exposición a la infección y la consiguiente pérdida de datos. Sólo tiene que ser lo suficientemente proactivo para asegurarse de que estas medidas de seguridad están en su lugar y comprobarlas de vez en cuando.
Como dice el viejo refrán, «Una onza de prevención vale una libra de cura» – Ben Franklin
¿El virus CryptoWall ha infectado alguno de los ordenadores de su organización? ¿Qué políticas de seguridad tienen para evitar que esto ocurra? Comparta su experiencia en el hilo de discusión a continuación.