"Paga o destruimos tus datos": cuáles son los ramsonware "más buscados" por la policía en Europa

  • 28 julio 2016
Una computadora tomada por ransomware Derechos de autor de la imagen Thinkstock
Image caption No abras ese mensaje que te parece sospechoso...

Te llegó un mail. Dice que viene de la oficina de impuestos. Promete un reembolso de dinero. Te parece sospechoso. Pero aun así lo abres… Y acto seguido, entras en una pesadilla: tu computadora ha sido secuestrada y los criminales están pidiendo rescate.

Es un problema muy común: de acuerdo con Europol, el organismo europeo de coordinación policial, el número de víctimas de ransomware -los programas que bloquean los archivos, datos y programas de computadoras ajenas- se triplicó en el primer trimestre de 2016en este continente.

Por este motivo, Europol se asoció recientemente con varias compañías de seguridad informática para lanzar un nuevo sitio especializado, nomoreransom.org.

Además de reunir la información más actual sobre las amenazas y consejos sobre cómo enfrentarlas, el sitio permite a la víctima subir parte de los archivos afectados para determinar cuál es el programa que lo está atacando, así como herramientas para liberarlos, que pueden funcionar en casos específicos.

"De momento la única opción para las víctimas es pagar el rescate. Esto les da otra opción", dijo Raj Samani, jefe para Europa de la compañía Intel.

"Esperamos ayudar a mucha gente a recuperar el control de sus archivos, mientras que creamos conciencia y educamos a la población sobre cómo mantener sus dispositivos libres de malware", señaló, por su parte, Wil van Germet, subdirector de operaciones de Europol.

Derechos de autor de la imagen Europol
Image caption "Estos criminales te dan dos opciones: o pagas o pierdes tus archivos bloqueados para siempre", dice el apartado de "más buscados" de la página nomoreransom.org.

En BBC Mundo exploramos algunos de los ransomware "más buscados" de Europol que figuran en el nuevo sitio y algunas medidas básicas de prevención (no seas tú la próxima víctima).

Locky

Locky es una forma típica de ransomware troyano que se propaga por la vía del email, que fue detectado en febrero pasado por la firma Kaspersky Lab.

La víctima recibe un correo que le pide abrir un archivo adjunto (attachment), titulado "documento de pago", "recibo" o algo parecido. El documento -que puede estar en Word o comprimido, en un archivo zip- incluye unos comandos (macros) que ejecutan la "toma" del computador.

Lo siguiente que ve la víctima es una pantalla con instrucciones de pago en bitcoins. "Te presentamos un programa especial, el Locky Decriptor", dice la pantalla. Y a continuación lista una serie de sitios donde la persona puede comprar los bitcoins en cuestión.

"Llamó la atención de los investigadores porque está muy activo y muy extendido", señala un blog de la compañía de seguridad Securelist.

Derechos de autor de la imagen Thinkstock
Image caption Las autoridades y los especialistas recomiendan no pagar rescate.

"Los productos de Kaspersky Lab han bloqueado ataques de Locky en más de 100 países en todo el mundo. Ningún otro troyano hasta la fecha había atacado tantos países al mismo tiempo".

Las medidas preventivas son las usuales: sobre todo, no abras correos de personas desconocidas o con documentos que no esperabas recibir. Y mantén una copia externa de todos tus documentos importantes.

CryptoWall4

Como su nombre lo indica, es la cuarta "evolución" de un programa de ransomware que viene dándole dolores de cabeza a los expertos de seguridad desde hace un buen tiempo.

"A pesar de los esfuerzos globales para detector y ponerle freno a la distribución de CryptoWall, los adversarios han continuado innovando y evolucionando en su oficio, lo que llevó a la liberación de CryptoWall4", dice un documento de la firma Talos Intelligence.

CryptoWall4 puede entrar por dos vías: phishing (correos electrónicos maliciosos que te llevan a abrir una página web) o campañas de "drive-by download"; por ejemplo, cuando te aparece una pantalla de repente, supuestamente alertándote de un error en tu computadora.

Una vez que haces clic, caes en manos de los criminales: una serie de comandos ponen tus archivos bajo una encriptación de la que no puedes liberarte, a menos que pagues "rescate".

"¿No puedes abrir el archivo que quieres? ¿No puedes ver o leer el archivo? Es normal, porque los nombres de archivo y los datos han sido encriptados. ¡Felicitaciones! Has pasado a formar parte de la gran comunidad CryptoWall", se leerá, no sin cruel sarcasmo, en el mensaje que recibirás a continuación.

Y cuando eso pasa, señala Talos Intelligence, "no hay manera de recuperar la llave que permite desencriptarlos, puesto que ésta está fuera de la estación de trabajo de la víctima".

Image caption "Felicitaciones, has pasado a formar parte de la gran comunidad CryptoWall"... No solo criminales, sino con un torcido sentido del humor.

"Aunque depende de ti si pagas o no para recuperar tus datos, Talos recomienda no hacerlo, porque esto financia su actividad maliciosa".

Es exactamente el consejo que da la página de Europol: "En términos generales, el consejo es no pagar el rescate. Al enviarle dinero a los cibercriminales sólo les confirmarás que su ransomware funciona, y no hay garantías de que te darán la llave de encriptación que necesitas".

Prevenir es mejor que lamentar. Talos Intelligence y otros recomiendan utilizar protección avanzada contra malware.

PadCrypt

La novedad con PadCrypt es el hecho de que incluye una ventana para chatear con los criminales en tiempo real.

Este "servicio técnico" le indicarán a la víctima, previo pago, cómo deshacerse del ransomware.

"Una característica como éste podría incrementar, potencialmente, el número de pagos, ya que la víctima recibe 'apoyo' y puede ser guiada a través del confuso proceso de efectuar el desembolso", dice la página especializada en seguridad informática BleepingComputer.

Image caption PadCrypt pide 0.8 bitcoins pero advierte que el precio se multiplicará si la persona no paga. En la esquina inferior izquierda aparece la opción de chatear con los desarrolladores/secuestradores.

En términos de funcionamiento, la vía de infección es, de nuevo, un archivo asociado al correo electrónico.

Esta vez el archivo adjunto es un "pdf" (o archivo gráfico). Dentro del pdf vienen comandos que encriptan los datos, al modo de CryptoWall.

Efectuado el "secuestro" del computador, se abre una pantalla que explica, en términos bastante amenazantes, la necesidad de pagar.

"Para desencriptar y reparar tus archivos, deberás pagar en Bitcoin o Paysafecard antes de que llave sea destruida. Después de eso, nadie podrá recuperar tus archivos, quedarán perdidos para siempre".

La tarifa exigida es de .8 bitcoin, el equivalente a unos US$350. Y el plazo de pago es 96 horas.

Fakben

Más que un programa, Fakben es un servicio que permite a cualquiera -con ciertas habilidades informáticas, claro está- crear un programa de malware.

Se trata de un modelo relativamente reciente, por el cual el usuario (que pretende crear el virus) se afilia por una tarifa moderada que le da acceso a una suerte de programa "base" a través de un sitio de red oscura.

El usuario puede entonces determinar cuánto dinero pedir por el rescate y la dirección donde la persona recibirá el pago (vía bitcoins). El servicio retiene 30% del pago y el afiliado el 70%, según explica BleepingComputer.

"No nos interesa quién será infectado o qué métodos utilizarás (pero) es importante que uses tu cerebro y tu inteligencia para propagarlo", señala el equipo de Fakben en su sitio web.

En lo que a la víctima toca, el resto de la historia es conocida. El programa base es un troyano que encripta los archivos del usuario, hasta que pague la suma requerida.

Temas relacionados

Contenido relacionado