Comunidad

¿Cómo proteger archivos y bases de datos, del virus “Ransomware”?

enero 18, 2018

¿Cómo proteger archivos y bases de datos, del virus “Ransomware”?

This post is also available in : Inglés

ransomware

Ransomware ¿Es un Virus, un Malware? Protégete conociendolo aún más

¿Qué es Ransomware?

El virus Ransomware se convirtió en un verdadero problema a nivel global en 2014. Es más, desde entonces sólo se ha tornado más amenazante y perjudicial. Se trata, de un tipo de malware que ingresa, de manera intrusiva e imparable, en los dispositivos de la víctima, al tiempo que bloquea el acceso a los datos o, bien, lo cifra completamente. Después del ataque, la víctima debe realizar un pago por concepto de rescate, si pretende recuperar el acceso a sus propios datos que han sido bloqueados o encriptados. Por ende, es imprescindible saber cómo protegerse de ransomware.

De acuerdo con un informe presentado por IBM, mediante el virus (malware) Ransomware se realizaron cerca de 4.000 ataques, por día, en 2016, lo que significa un incremento del 400 % respecto de lo que sucedió en 2015. El FBI, a su vez, dice que las víctimas del virus pagaron cerca de $209 millones de dólares (una cifra “escalofriante”) con el fin de recuperar sus datos, solo durante el primer trimestre de 2016, lo que representa una cifra muy superior a los $24 millones que fueron pagados en 2015.

Como si los datos a los que acabamos de aludir no fuesen suficientes, las cifras se han incrementado, aún más, en 2017, pero a estas nos referiremos más adelante. Las autoridades encargadas de la seguridad informática y muchos expertos en el tema, usualmente les recomiendan a las víctimas no pagar rescate alguno (como sucede en todos los secuestros), en vista de que ello motiva a los ciber-delincuentes para aumentar sus actividades criminales. Adicionalmente, no existe garantía alguna de que las víctimas acatadas recuperen el acceso a sus datos secuestrados o encriptados, luego de que se verifique el pago para rescatarlos. Entremos, entonces, en detalles, para ver qué es “WannaCry”.

¿En qué consiste WannaCry?

Durante los últimos años, el mundo ha sido testigo de una enorme cantidad de malware sofisticado y, también, de ataques dirigidos a gobiernos de países importantes y a corporaciones destacadas a nivel global. Para plasmar datos mucho más recientes que los presentados en la introducción, digamos que, en mayo del presente año, el mundo fue testigo de “WannaCry” que, justo es decirlo, es el ataque cibernético más grande y devastador de la historia. Para ser más explícitos y específicos, anotemos se fue un Ransomware extremadamente atrevido y perjudicial que afectó, dramáticamente, a más de 200.000 organizaciones pertenecientes a más de 150 países alrededor del mundo.

WannaCry bloqueó los datos de un enorme número de dispositivos y dejó a los usuarios en precarias condiciones, hasta el punto en que los dejó con sólo dos archivos: de un lado, un archivo que contenía las instrucciones acerca de lo que las víctimas deberían hacer en lo sucesivo y, de otra parte, otro que tenía las instrucciones sobre cómo recuperar sus datos secuestrados. En semejantes circunstancias, a los perjudicados con el delito sólo les quedó una opción: pagar para recuperar sus datos, en contra de las recomendaciones de las autoridades y expertos.

¿Qué tiene que ver la Agencia de Seguridad Nacional de Estados Unidos con todo esto?

Resulta que, siendo el “brote viral” más sofisticado que se había presentado hasta ese entonces, se apoderó e hizo uso de varias herramientas informáticas de piratería cibernética, que le fueron robadas a la NSA (Agencia de Seguridad Nacional). Fueron filtradas online en abril del presente año, por parte de un grupo que se autodenomina “Shadow Brokers” que, traduciéndolo al español, significa “intermediarios en la sombra”. No obstante este panorama devastador, durante el pasado mes de octubre apareció “Bad Rabbit”, el nuevo Ransomware, masivo por demás, que tiene en vilo a toda Europa.

¿En qué consiste Bad Rabbit o “Conejo Malo”?

Además del malware ya mencionado, esto es, WannaCry, muchos fueron víctimas de otro ataque a gran escala de Ransomware: ExPetr, al que se le conoce, también, como “NotPetya” o, simplemente, “Petya”. Ahora, un tercer ataque está tomando una fuerza preocupante: se trata de un nuevo malware denominado “Bad Rabbit”, un nuevo malware que se está esparciendo por toda Europa, siendo Rusia y Ucrania las naciones más afectadas, aunque es preciso tener en cuenta que Alemania y Turquía también han sido “presas” de esta nueva modalidad de Ransomware. Sea el momento oportuno para aclarar que el término “Ransom” significa “Rescate”, aludiendo al precio a pagar tras un secuestro. Protegerse de ransomware es urgente e imperativo.
Veamos los blancos o víctimas de Bad Rabbit (o, por lo menos, los que se han reportado):

  • El Ministerio de Infraestructura de Ucrania
  • El Sistema de Transporte Público de Kiev
  • Interfax, un servicio de noticias ruso
  • Kaspersky, otro medio de comunicación ruso
  • Fontanka.ru, un medio ruso de noticias

Según esta lista y de acuerdo con el criterio de los investigadores, al parecer estos ataques están encaminados hacia los medios de comunicación, al tiempo que Bad Rabbit cuenta con muchas semejanzas con el otro malware ya citado, esto es, NotPetya o Petya. En lo que respecta, esta vez, a Kaspersky (otra de las víctimas de la lista anterior), digamos que se trata de un ataque que no utiliza “Exploits” o, lo que es lo mismo, que no se aprovecha de los fallos en los sistemas operativos. Se trata, más bien, de un ataque al que se le denomina “Drive-by” que, necesario es advertirlo, requiere de la actuación de las víctimas, paradójicamente.

La opinión de TechCrunch sobre este problema global que afecta a gobiernos y organizaciones

Algunos se estarán preguntando, y con justa razón, “¿por qué es importante la opinión de esta compañía?” e, incluso, “¿qué diablos es TechCrunch?”. Pues bien, resulta que se trata de un blog que, para 2009, contaba con más de un millón de suscriptores por medio de RSS, al tiempo que recibía, para ese entonces, más de 200.000 visitas diarias. Si eso sucedía hace ocho años, ¿cómo será la situación de este sito en la actualidad? En otras palabras, no es tan solo un blog. Es “EL” BLOG. Continuemos, entonces, para decir que TechCrunch sostiene (y nosotros estamos de acuerdo) que Bad Rabbit requiere que las víctimas atacadas descarguen y ejecuten el virus que, necesario es anotarlo, viene en forma de un archivo instalable de Adobe Flash.

Además, según la opinión de los expertos de este prestigioso blog, cuando un ordenador u otro dispositivo es víctima de Bad Rabbit, se generan dos tareas con los nombres de dos dragones de “Game of Thrones” y “Gusano Gris”, el comandante del ejército de Daenerys Targaryen. Ahora, toda esta terminología puede resultar desconocida y hasta exótica para muchos de los lectores. Sin embargo, basta con que tecleen en Google o en su buscador preferido, TechCrunch + el término sobre el que pretendan saber. No lo hacemos nosotros, en vista de que este artículo se volvería demasiado extenso.

Continuemos, entonces, para manifestar que los ordenadores afectados con este malware, son direccionados a un dominio o “domain” en el que se les solicita que paguen 0,5 Bitcoins, que equivalen a cerca de 276 dólares o, lo que es lo mismo, a 237 euros, para recuperar los datos. En ese sitio aparece una “infame” cuenta regresiva, en que la víctima de turno puede ver el tiempo estipulado unilateralmente por los delincuentes, antes de que el precio se incremente. Tal y como sucede con casi todos los secuestros, aún no se sabe si los cibercriminales que hacen uso de este malware, liberan los datos secuestrados y, de paso, eliminan el virus después de haber recibido el pago. Veamos, a continuación, una imagen en la que aparece el sitio que plasma la mencionada cuenta regresiva.

ransomware

No teman dar clic en el enlace con el que le damos el crédito respectivo a la imagen, dado que no se trata del dominio de marras al que aludíamos sino, más bien, a un website que se refiere a este grave problema que está afectando a Europa. Eso sí, cuando hagan clic podrán apreciar la mencionada cuenta regresiva, solo con intención informativa. Veamos, ahora sí, como protegerse de ransomware y, más específicamente, de la modalidad Bad Rabbit.

¿Cómo protegerse del malware Bad Rabbit?

Según los expertos que han asesorado a Kaspersky que, recordemos, es uno de los medios noticiosos rusos que han sido víctimas de Bad Rabbit, aun cuando dispongamos de algún medio de protección o, lo que es lo mismo, de un software antivirus, como podría ser el caso de Avast o de Avira, es preciso que nos aseguremos de que tengamos activados (encendidos) algunos de estos programas o, bien, bloquear la ejecución de archivos:

  • Kaspersky Security Network
  • System Watcher
  • Bloquear la ejecución de archivos mediante algunas vacunas
  • Crear unos archivos denominados c:\windows\infpub.dat y c:\Windows\cscc.dat
  • Luego de crear este archivo, bloquear todos los permisos de ejecución para el mismo
  • Tener una copia de seguridad de todos los datos

Las mejores herramientas para protegerse de ransomware y cómo eliminarlo si ya se encuentra instalado

Tener el virus Ransomware en nuestro ordenador es una verdadera emergencia, que requiere de una drástica toma de decisiones. Para tal efecto, mencionaremos algunas de las mejores herramientas que nos pueden ser muy útiles. Si somos usuarios de internet en el ámbito del hogar o, bien, si somos los dueños y/o webmasters de una pequeña, mediana o gran empresa, es posible que nos encontremos con un cuadro de diálogo que nos diga que los archivos de nuestro ordenador con el sistema operativo Windows, están encriptados y, peor aún, que contamos con 48 o 72 horas para pagar 300-350 euros (en Bitcoins, claro está) y, de paso, recuperar esos archivos. Se nos dirá, además, que de no cumplir con el plazo impuesto por los delincuentes el precio se incrementará.
En este caso, ya es demasiado tarde para hacer algo, porque la única opción será pagar, a menos que pretendamos permitirnos pagar, sin la seguridad de que los datos serán liberados. Ahora, si antes tuvimos la precaución de transportar copias de seguridad, todo podría estar relativamente bien. En otras palabras y para ser más claros y explícitos, digamos que la mejor defensa contra el virus Ransomware consiste en hacer y transportar copias de seguridad. Ahora, los software antivirus están mejor adaptados para contrarrestar esta infame amenaza. Algunos expertos manifiestan, incluso, que estos programas tienen la capacidad de “limpiar el desastre”, luego de que se ha desatado. Sin embargo, la “capacidad de mutación” (por decirlo de alguna manera) de estos virus, hace que debamos estar un paso delante de los programas antivirus para protegerse de ransomware.

Estos malwares de rescate, casi siempre utilizan cifrado de clave pública irrompible para bloquear archivos. Sin embargo, el número de variantes es relativamente pequeño en cualquier momento, al tiempo que es posible que un software de seguridad se pueda sintonizar, con el fin de detectar el tipo de Ransomware más activo, observando el comportamiento conocido, como sucede con la interacción con el sistema de archivos. Ante tal estado, lo mejor es hacer uso de la lista de herramientas sobre las que pasaremos a hacer alusión. Se trata de herramientas con las que podemos lograr limpiar el desastre, a la vez que podemos llevar a cabo la detección e, incluso, el descifrado mismo. Veámoslas, entonces:

  • Herramienta ransomware de pantalla de bloqueo, de Trend Micro.
  • Herramientas de descifrado de ransomware, de AVG
  • BitDefender anti-ransomware
  • Avast, herramientas anti-ransomware
  • Kaspersky, herramienta anti-ransomware

ransomware

Ahora, siendo sinceros y honestos, ninguno de los anteriores productos informáticos brinda la posibilidad de eliminar al 100 % el Ransomware e, incluso, en ciertos casos, no es posible eliminarlo en una fracción, por lo que es necesario que las personas y las organizaciones operen con el mayor de los cuidados cuando estén en línea. Lo recomendable es elaborar y transportar las copias de seguridad a las que ya hicimos referencia anteriormente. Sin embargo, no todo el panorama es sombrío porque estos programas (de la lista) nos ayudan a proteger el sistema y, también, a recuperarnos (si ya el virus ingresó) lo más rápido posible, con un daño mínimo a los sistemas mismos y a las redes. No obstante, la sola eliminación de la infección es solo una manera de recuperar el sistema, pero no los datos que se encontraban en este. Por ello, reiteramos, una vez más, que la mejor defensa está en las copias de seguridad.

Otras opciones interesantes para protegerse de ransomware, son Malwarebytes anti-ransomware (anteriormente CryptoMonitor), Rakhni Decryptor, Rannoh Decryptor, el Descifrador de CionVault, Webroot SecureAnywhere Antivirus y el importante y destacado Interceptor de McAfee Ransomware. También podemos encontrar más información en otros artículos del blog de Pandora FMS sobre otras alternativas de defensa ante este perjudicial y devastador virus Ransomware.


Rodrigo Giraldo, redactor técnico freelance. Abogado y estudiante de astrobiología, le apasiona la informática, la lectura y la investigación científica.



One comment
  1. Avatar

    Carlos Velasq

    es completo el post... Yo agregaria q AVG y avast son los más efectivos. la p+ag de origen no me dejaba pasar a este post con el enlace. pero copie y peqgue en Word y logré y sí me lo permitio. por que será eso ? me dejo pasar a este post desde word...ustedes que opinan ?

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.