El ransomware o cryptoware hace referencia a un tipo de malware que cifra los archivos del usuario con el objetivo de pedir un posterior rescate para desbloquearlos. 

Es evidente el daño que pueden causar estos ataques cibernéticos tanto a los equipos informáticos como a la información que estos contienen, por lo que protegerse contra este tipo de amenazas resulta primordial. 

Desde Acción Informática, como especialistas en servicios informáticos para empresas, entramos en detalle para conocer qué son los ransomware y cryptoware y cómo podemos evitarlos. ¡Sigue leyendo!

¿Qué es el ransomware?

El ransomware consiste en un tipo de software malicioso que se instala en un dispositivo sin el conocimiento del usuario y cifra los archivos almacenados en el dispositivo. 

Una vez cifrados, los archivos no pueden ser recuperados sin una clave suministrada por la entidad que instaló el ransomware.

Normalmente, el ransomware o agente malicioso requiere que el usuario pague una cantidad de dinero para recibir la clave de descifrado. 

Los virus ransomware funcionan mediante la encriptación de los archivos de la víctima, lo que los vuelve inaccesibles hasta que se paga el rescate y se recibe la clave de descifrado. 

Estos ataques ransomware pueden propagarse a través de correos electrónicos infectados, sitios web maliciosos, dispositivos USB infectados o explotando directamente vulnerabilidades en el sistema operativo o en las aplicaciones del equipo informático.

Es importante destacar que nunca se debe pagar el rescate exigido por los atacantes, ya que esto puede incentivar la propagación de este tipo de ataques y no garantiza la recuperación de los archivos. 

En su lugar, se recomienda realizar copias de seguridad de forma periódica e implementar las medidas de seguridad adecuadas como un software antivirus actualizado y el uso de contraseñas fuertes y seguras.

¿Qué es el cryptoware?

Por su parte, por cryptoware se entiende un sinónimo de ransomware o malware de rescate y, por tanto, es un término genérico que se utiliza para referirse a un tipo de malware que cifra los archivos de la víctima y exige un rescate para su recuperación. 

De la misma manera, el cryptoware utiliza técnicas avanzadas de cifrado para bloquear el acceso a los archivos de la víctima.

Se suele propagar a través de correos electrónicos maliciosos, descargas de software piratas o a través de otro tipo de vulnerabilidades de seguridad informática.

En el momento que los archivos de la víctima han sido cifrados, el malware muestra una pantalla de rescate en la que se exige un pago en moneda virtual, generalmente Bitcoin, a cambio de una clave de descifrado para recuperar los archivos. 

En ocasiones, los atacantes también amenazan con publicar información privada o sensible de la víctima si no se cede al pago del rescate.

¿Qué es el ransomware CryptXXX?

El ransomware CryptXXX se distribuye entre los internautas a través de correos spam que contienen archivos adjuntos infectados o links a páginas web maliciosas. 

Las webs que alojan el kit de exploit de Angler distribuyen el malware CryptXX.

Cuando se ejecuta, el ransomware cifra los archivos del sistema infectado y añade la extensión .crypt al nombre de cada archivo. 

Tras esto, se informa a las víctimas de que sus archivos han sido cifrados a través de RSA-4096, un algoritmo de encriptación más fuerte, además de exigir el pago de un rescate en Bitcoins para liberar los datos.

Con más de 50 familias de ransomware existentes, no existe un algoritmo universal para contrarrestar la amenaza o el impacto de estos ataques. Sin embargo, en el caso de CryptXXX, el rescate de los ciberdelincuentes a través de RSA-4096 resultó ser falso y Kaspersky Lab ha desarrollado una herramienta de descifrado que ahora está disponible en la web de soporte de la compañía.

Gracias al trabajo de los expertos de Kaspersky Lab, ahora los internautas pueden tener la seguridad de que, si CryptXXX se encuentra en sus sistemas, es posible recuperar los archivos sin pagar el rescate

Con el fin de descifrar los archivos afectados, esta herramienta de Kaspersky Lab necesitará la versión original (no encriptada) de al menos un archivo que haya sido afectado por este ransomware.

Los usuarios de las soluciones de Kaspersky Lab están ahora más protegidos porque el kit de exploit de Angler usado por el ransomware CryptXXX se detecta en etapas tempranas de infección, gracias a la tecnología de prevención y bloqueo de las acciones de exploit de las soluciones de Kaspersky Lab. 

Los productos de Kaspersky Lab detectan este kit de exploit bajo los siguientes parámetros:

  • HEUR:Exploit.SWF.Agent.gen
  • PDM:Exploit.Win32.Generic
  • HEUR:Exploit.Script.Generic.

¿Cómo evitar estos ataques informáticos?

En Kaspersky recomendamos tener en cuenta las siguientes pautas de seguridad para reducir el riesgo de infección por malware del tipo Ransomware o Cryptoware “file encryptors”:

Los mensajes de correo son la principal vía de infección hasta el momento. 

Lo más eficaz es activar soluciones perimetrales en los sistemas de correo que puedan filtrar tanto Spam como archivos adjuntos que puedan contener código ejecutable en los mismos. 

Si no se dispone de soluciones perimetrales, activar el módulo de Antivirus de Correo de Kaspersky Lab.

Así, se podrán filtrar los siguientes tipos de archivos adjuntos: archivos zip, pdf, doc(x), xls(x), exe, bat, o cualquier otro que pueda contener macros.

Dos ejemplos de los métodos más utilizados para la propagación son:

  • Correo procedente, aparentemente, de Correos adjuntando un archivo zip del tipo:Carta_certificada_<numero_aleatorio>.zip\Cartacertificada_<numero_aleatorio>.exe
  • Correo cuyo asunto es: My photo
  • Contenido: My new photo , send u photo ????
  • Incluye un adjunto “my_new_photo” seguido de un número aleatorio y extensión .zip.

Si alguien de la empresa recibe algo parecido, ¡borradlo inmediatamente! Que nadie abra el adjunto bajo ninguna circunstancia. Para evitarlo, es recomendable tener en cuenta lo siguiente: 

  • Evitar descargar archivos cuyos enlaces están indicados en el cuerpo de un correo y que no vengan de personas de confianza.  Si existen dudas, revisar si en el correo existen caracteres extraños en vez de tildes o errores ortográficos como que las “ñ” vengan como “n”. Si es así, no abrir los posibles adjuntos ni pulsar en los enlaces.
  • Siempre que sea posible, actualizar a la última versión de Kaspersky Endpoint Security y configurarlo siguiendo las indicaciones adecuadas. 
  • Asegurarse de que las bases de firmas de la solución de seguridad son siempre las últimas disponibles.
  • Confirmar que el componente System Watcher esté activado.
  • Asegurarse que el componente Kaspersky Security Network (KSN) esté activado.
  • Activar y configurar el módulo de control de actividad de aplicaciones para evitar la ejecución de aplicaciones que no sean de confianza.
  • Los ficheros maliciosos ocultan el tipo de archivo que son, usando diversas técnicas.
  • Para tener visibilidad en todo momento del tipo de extensión real del fichero, se recomienda deshabilitar la opción de Ocultar las extensiones de archivo para tipos de archivo conocidos’, en las ‘Opciones de Carpeta’ del Explorador de archivos de Windows.
  • Tener siempre copias de seguridad actualizadas de los datos, tanto de equipos de trabajo como de unidades de almacenamiento en dispositivos externos.
  • Mantener todo el software actualizado para protegerse de infecciones desde páginas que utilizan Web Exploit Kits que se aprovechan de vulnerabilidades del navegador, Java, Flash o Adobe Acrobat.

Si, lamentablemente, se ha producido la infección, las vías para intentar recuperar los archivos son:

  • Apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red.
  • Entrar en modo seguro del sistema y proceder a recuperar las Volume Shadow Copies.
  • Proceder a la restauración de las copias de seguridad.
  • Intentar recuperar los archivos con herramientas forenses.
  • Abrir una incidencia al departamento de Soporte Técnico de Kaspersky Lab a través del portal de gestión de incidencias.
  • Aislar los equipos infectados de la red. 

¿Quieres conocer en profundidad cómo garantizar la seguridad de tus equipos? No dudes en contactarnos, estaremos encantados de atenderte y proporcionarte toda la información que necesitas.