CryptoLocker: secuestro de datos

Existen múltiples formas de virus y malware como ya indicamos en una entrada anterior de nuestro Bl0g. En este caso queremos centrarnos en un tipo de Ransomware que está muy extendido últimamente y que crea verdaderos dolores de cabeza: CryptoLocker.

  1. Infección de CryptoLocker
  2. Solucionando CryptoLocker
  3. Evitando la infección de CryptoLocker
  4. Pasos a seguir

Infección de CryptoLocker

Muchas veces los usuarios reciben mails con apariencia confiable (administración pública, empresas conocidas, etc.) que abren sin prestar especial atención al remitente. Y es que estos virus y quien se encarga de extenderlos saben que no prestamos atención a los detalles aprovechándose de ello.

En el caso de CryptoLocker utiliza distintos métodos, pero en España se ha popularizado como el virus de Correos. Recibe ese nombre porque el modus operandi del troyano es a través de un mail con apariencia de la empresa nacional Correos. Nos hacen creer que hemos recibido una carta certificada y que para verla necesitamos descargar un fichero. Dicho fichero en realidad procede a ejecutar una serie de procesos que encriptan gran cantidad de ficheros de nuestro ordenador dejándolos totalmente inaccesibles.

Cuando Cryptolocker finaliza su infección nos cambia el fondo de pantalla y nos crea miles de ficheros en todo el disco duro con extensión .txt con las instrucciones necesarias para poder recuperarlos. Dichas instrucciones pasan por hacer un pago en bitcoins con un procedimiento que nos impedirá saber donde irá esa transacción. Dicho de otra manera: acaban de secuestrar nuestros datos y nos piden un rescate.

Archivo encripdato por DecryptLocker
Archivo encripdato por DecryptLocker

Debemos tener en cuenta que CryptoLocker también encripta ficheros de unidades capturadas en red e incluso de Dropbox. Es por ello que el destrozo ocasionado puede ser mayúsculo, sobretodo teniendo en cuenta que muchas empresas utilizan estos sistemas para compartir ficheros entre usuarios.

Solucionando CryptoLocker

Existen múltiples programas de limpieza de malware que pueden realizar la tarea de desinfectar nuestro equipo del troyano CryptoLocker. El problema es que la limpieza de la aplicación maliciosa no repara el daño hecho y después de la desinfección nos queda un disco lleno de archivos inaccesibles.

Encriptado

Una opción sería pagar el dinero que nos pidan los ciberdelincuentes y esperar que nos devuelvan la clave de desencriptación. Con ello estaremos fomentando que sigan existiendo y proliferando este tipo de delitos. Además el pago no asegura la recuperación de los datos, debemos confiar en la “buena fe” de alguien que nos ha robado la libertad de acceso a nuestros datos.

Otra opción es recuperar nuestros ficheros de una copia de seguridad que tengamos, ya sea físicamente o en la nube. Para ello deberemos tener un sistema de backup con copias anteriores a la infección.




Hasta la fecha no se conocen sistemas de desencriptado eficientes así que pocas opciones tenemos de recuperar nuestros datos si no es como hemos comentado en el artículo.

Evitando la infección de CryptoLocker

Sabiendo que existe este malware y se camufla bajo la apariencia de un mail de Correos que nos envia una carta certificada ya estaremos prevenidos ante cualquier correo sospechoso.

Hasta la fecha los antivirus no son demasiado eficientes con este tipo de malware y por tanto el sentido común y las buenas practicas se hacen imprescindibles. Es por ello que nuestras recomendaciones son:

  • No abrir correos de desconocidos o que tengan un contenido no habitual para nosotros.
  • Evitar abrir correos que no esperamos con archivos adjuntos aunque sean de remitentes conocidos. Es preferible contactar al remitente y preguntar si ha enviado el correo para asegurarnos que su procedencia no es vírica.
  • Fijarnos bien en las extensiones de los ficheros adjuntos que descargamos, si son documentos o imágenes generalmente serán: PDF, DOC, DOCX, XLS, XLSX, JPG, BMP, GIF, etc. Jamás será un archivo EXE que es la extensión que utilizan estos malware.
  • Tener un sistema de backup seguro y con varias copias para poder proceder a su recuperación en caso de necesidad.
  • Tener nuestros antivirus activos y actualizados ya que aunque no tengan una gran efectividad con estos malware si que pueden reducir el daño que puedan causar si detectan el proceso a tiempo.
Antivirus ha detectado archivo malicioso DecryptLocker
Antivirus ha detectado archivo malicioso DecryptLocker

A pesar de todas las recomendaciones es inevitable que un usuario pueda tener un despiste y es más habitual de lo que creemos que entren toda clase de malware en nuestros equipos, pero estar informados es fundamental para minimizar una infección grave.

Pasos a seguir

  1. Si recibes un e-Mail aparentemente de Correos, sospecha.

  2. Si ese e-Mail viene con un adjunto llamado “carta_certificada_xxxxxx“, no lo abras y elimina el correo.

  3. Si ves que en tu ordenador aparecen ficheros no esperados con extensión “.encrypt” o “Instrucciones_descrifrado.html” o “Instrucciones_descrifrado.txt“, apágalo inmediatamente y contacta con tu servicio de mantenimiento informático.

2 comentarios en “CryptoLocker: secuestro de datos

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *