El ransomware, tan peligroso para usted como lucrativo para los hackers, se ha convertido en la principal amenaza a la seguridad. Los ataques e intentos de infección han repuntado en los últimos años y seguirán haciéndolo, ya que cada nueva versión es más potente y destructiva que la anterior.

¿Qué es el ransomware?

El ransomware es un software malicioso que cifra archivos en su ordenador con el fin de impedirle acceder a ellos. Lo difunden hackers que luego exigen un rescate (normalmente, entre 300 y 500 USD/GPB/EUR, preferiblemente en bitcoines) con la promesa de que, tras el pago, le enviarán la clave de descifrado con la que recuperar sus archivos.

El primer ataque registrado de ransomware se produjo en 1989, cuando el biólogo evolucionista Joseph Popp infectó varios disquetes con el troyano AIDS y los distribuyó entre otros investigadores. El malware no se ejecutaba de inmediato, sino que esperaba a que las víctimas iniciaran sus ordenadores 90 veces. Entonces, procedía a cifrar todos los archivos del sistema y solicitaba a los usuarios el pago de 189 $ para restaurar el acceso a ellos. Por suerte, los expertos pudieron desarrollar herramientas con las que eliminar el malware y descifrar los archivos infectados.

Pero... ¿el ransomware es un virus? No. Los virus infectan archivos o software y tienen la capacidad de replicarse, mientras que el ransomware altera los archivos de modo que no se puedan utilizar y, a continuación, exige un pago. Ambos pueden eliminarse con un antivirus, pero existe la posibilidad de que nunca pueda recuperar los archivos cifrados.

Tipos de ransomware

Hay ransomware de todo tipo. Algunas variantes son más dañinas que otras, pero todas tienen una cosa en común: el rescate.

ultimate-guide-to-ransomware-ransomeware-types

  1. El criptomalwareo software encriptador, es el tipo más común de ransomware y puede causar mucho daño. Además de extorsionar más de 50.000 $ a sus víctimas, WannaCry llegó a poner miles de vidas en peligro cuando afectó a hospitales de todo el mundo e impidió al personal médico acceder a los archivos de los pacientes.
  2. Los bloqueadores infectan el sistema operativo para impedirle el acceso a las aplicaciones y a los archivos del ordenador.
  3. El scareware es un software falso (como un antivirus o una herramienta de limpieza) que asegura haber detectado problemas en su ordenador y que exige dinero para resolver el problema. Algunas variantes bloquean el ordenador, mientras que otras inundan la pantalla con molestas alertas y ventanas emergentes.
  4. El doxware (o leakware) amenaza con publicar en la red la información que le han robado si no paga. Todos almacenamos archivos confidenciales en nuestros ordenadores (desde contratos y documentos personales hasta fotos comprometedoras), por lo que es fácil imaginar el pánico resultante.
  5. El RaaS (Ransomware as a Service) es malware hospedado de forma anónima por un hacker que se encarga de todo (la distribución del ransomware, el cobro de los pagos, la gestión de los descifradores) a cambio de una parte del rescate.

Ransomware dirigido a dispositivos Android

Los dispositivos móviles Android tampoco están a salvo del ransomware. Existe incluso una imitación de WannaCry que se extiende por foros de juegos y que tiene como objetivo los dispositivos Android en China. Como es fácil restaurar los datos sincronizando dispositivos, los ciberdelincuentes suelen preferir el bloqueo del smartphone al simple cifrado de los archivos.

Ransomware dirigido a equipos Mac 

Además, aunque para infectar un dispositivo de Apple hace falta algo más que abrir un archivo adjunto de correo electrónico o hacer clic en un enlace, el ransomware dirigido a equipos Mac también está en alza. El malware más reciente que afecta a los Mac parece creado por ingenieros de software especializados en OS X. Los ciberdelincuentes suelen atacar las cuentas de iCloud, o bien intentan bloquear los smartphones mediante el sistema Buscar mi iPhone.

Ataques de ransomware en 2017

Con las decenas de herramientas de creación de malware que hay disponibles en el mercado negro de Internet, los hackers tienen una buena base de trabajo. Los ataques más recientes demuestran que los ciberdelincuentes dedican un gran esfuerzo a mejorar su código, añadir funciones que dificulten la detección y ajustar los correos electrónicos maliciosos para que parezcan legítimos.

Vamos a examinar los principales ataques de ransomware que se produjeron en 2017: WannaCry y Petna.

WannaCry

Después de infectar a más de 10.000 organizaciones y 200.000 particulares en más de 150 países, WannaCry se ganó su reputación como el ataque de ransomware más extendido hasta la fecha. Usaba una vulnerabilidad de seguridad conocida como «ETERNALBLUE», que aprovecha una vulnerabilidad de Windows SMB (Server Message Block, un protocolo de uso compartido de archivos en red) etiquetada como MS17-010.

ultimate-guide-to-ransomware-wannacry-map

Petya

El brote más reciente de Petya (también llamado Petya, Petna, NotPetya, EternalPetya o Nyetya) dio a todo el mundo un buen susto, aunque resultó mucho menos dañino que WannaCry. Petna afectó principalmente a Ucrania (con más del 90 % de los ataques), pero también se registraron ataques en Estados Unidos, Rusia, Lituania, Bielorrusia, Bélgica y Brasil.

Estos son otros dos grandes ataques de ransomware que llegaron a las noticias en 2016:

  • Locky: este malware, visto por primera vez en febrero de 2016, se envió a millones de usuarios de todo el mundo mediante un correo electrónico fraudulento que decía ser una factura o un albarán. Los mensajes contenían un documento de Word ilegible, pedían al usuario que habilitara las macros para ver el contenido y entonces comenzaban a descargar el malware. Los autores de Locky mejoraban el código con cada ataque para dificultar su detección una vez en el ordenador.
  • Cerber ransomware: este malware se presenta como una herramienta de creación y cualquiera puede descargarlo, configurarlo y extenderlo. Para distribuirlo, se usa un documento adjunto en un correo electrónico o un enlace para cancelar una suscripción en un correo electrónico no deseado (que redirige a las víctimas al mismo documento adjuntos). Además, puede funcionar, aunque no tenga conexión y puede cifrar más de 400 tipos de archivos, incluidos archivos de bases de datos.

Como los hackers no dejan de mejorar su código, cualquiera de estas variantes podría reaparecer en cualquier momento, así que es importante saber que siguen ahí fuera, aunque no aparezcan en las noticias.

¿Es usted un objetivo del ransomware?

Cualquiera puede ser objetivo del ransomware. Por ejemplo, WannaCry aprovechó una vulnerabilidad de Windows para extenderse e infectar a más de 200.000 usuarios como usted, además de 10.000 empresas, instituciones públicas y organizaciones de todo el mundo.

Cualquiera que no hubiera instalado el parche de seguridad que Microsoft publicó en marzo era vulnerable. Los usuarios de Windows XP se llevaron la peor parte: Microsoft había dado por terminado el soporte para esta versión de Windows hacía tres años y no se decidió a publicar un parche para este sistema operativo hasta que se comprobó la gravedad del ataque. (Por cierto: si sigue utilizando esa versión, debe plantearse seriamente actualizarla).

Mientras que arreglar un problema así mediante un parche o una actualización es rápido y fácil para la mayoría de los usuarios, las empresas y organizaciones son mucho más vulnerables. A menudo utilizan software hecho a medida que dejaría de funcionar si aplicaran actualizaciones y, además, deben implementar la solución en una ingente cantidad de dispositivos, lo que supone una ralentización del negocio. Algunas organizaciones simplemente carecen de los fondos necesarios. El presupuesto de un hospital debe utilizarse para salvar vidas, no ordenadores, pero esta distinción puede desaparecer cuando un ataque bloquea los sistemas y no es posible acceder a los historiales de los pacientes.

La ciberdelincuencia es la principal preocupación de las organizaciones que trabajan con información confidencial, pero eso no significa que los usuarios particulares estén a salvo: sus fotos familiares y sus archivos personales también son muy valiosos para los hackers.

Cómo infecta el ransomware un ordenador

Ya sea mediante archivos adjuntos maliciosos de correo electrónico, enlaces falsos o engaños en redes sociales, el ransomware se extiende con rapidez y golpea duro. Así es como llega a su ordenador:

  • Ingeniería socialun nombre elegante para referirse a la actividad de engañar a la gente para que descargue malware desde un archivo adjunto o un enlace falsos. Los archivos maliciosos suelen hacerse pasar por documentos ordinarios (confirmaciones de pedido, albaranes, facturas, avisos, etc.) y parecen enviados desde una empresa o institución reputadas. Basta con descargar uno de estos en el ordenador, intentar abrirlo y... ¡bum! Infectado.
  • Malvertising: anuncios de pago que envían ransomware, spyware, virus y otras cosas desagradables con solo hacer clic en un botón. En efecto, los hackers compran espacio publicitario en sitios web populares (incluidas redes sociales o YouTube) para hacerse con sus datos.
  • Kits de aprovechamientocódigo pregenerado y primorosamente envuelto en una herramienta de ataque lista para usar. Como habrá adivinado, estos kits están diseñados para aprovechar vulnerabilidades y agujeros de seguridad en software obsoleto.
  • Descargas Drive-byarchivos peligrosos que nunca pidió. Algunos sitios web maliciosos aprovechan aplicaciones o navegadores obsoletos para descargar de forma subrepticia malware en segundo plano, todo ello mientras visita un sitio de aspecto inocente o ve un vídeo.

Cómo saber si estoy infectado

Todo puede comenzar con un correo electrónico de aspecto inocente, supuestamente enviado por una fuente legítima, que le pide que descargue una factura o algún otro documento importante. Los hackers suelen enmascarar la extensión real del archivo para engañar a las víctimas y que piensen que es un archivo PDF o doc o una hoja de cálculo de Excel. En realidad, es un archivo ejecutable que empieza a ejecutarse en segundo plano cuando hace clic en él.

Durante un tiempo no sucede nada extraño. Puede acceder a sus archivos y todo funciona bien, al menos por lo que parece. Pero el malware está contactando discretamente con el servidor del hacker y está generando un par de claves, una pública para cifrar sus archivos y otra privada, que se almacena en el servidor del hacker, para descifrarlos.

Una vez que el ransomware se abre camino hasta su disco duro, no tiene mucho tiempo para salvar los datos. Llegados a este punto, ya no hace falta su participación. El ransomware simplemente se ejecuta, cifra sus archivos y solo se muestra una vez que el daño está hecho.

Aparece una nota de rescate en la pantalla que indica cuánto debe pagar y cómo transferir el dinero. Una vez que el reloj se pone en marcha, suele tener 72 horas para pagar el rescate. Si no lo hace en el plazo indicado, el precio sube.

Mientras tanto, no podrá abrir los archivos cifrados y, si intenta hacerlo, recibirá un error que indica que el archivo no se puede cargar, que está dañado o que no es válido.

Cómo se elimina el ransomware

Salvo que se le haya denegado el acceso a su ordenador, eliminar el ransomware es bastante fácil. De hecho, es igual que eliminar un virus o cualquier otro tipo común de malware. Ya hemos hablado de esto en otro artículo aquí, pero aquí está el resumen: se entra en Modo seguro y se ejecuta el antivirus para eliminar el malware, o bien se elimina de forma manual.

ultimate-guide-to-ransomware-remove-ransomware

Las cosas se complican un poco si el ordenador está infectado con un bloqueador que le impida entrar en Windows o ejecutar cualquier programa. Hay tres modos de arreglarlo: realizar una restauración del sistema para devolver Windows a un punto en el que el ordenador estuviera a salvo, ejecutar el programa antivirus desde un disco de arranque o una unidad externa o reinstalar el sistema operativo.

Pruebe AVG Internet Security de forma GRATUITA

 

Restaurar sistema en Windows 7:

  • Encienda el ordenador y presione F8 para entrar en el menú Opciones de arranque avanzadas.
  • Seleccione Reparar el equipo y presione Intro.
  • Inicie sesión con el nombre y la contraseña de su cuenta de Windows (o deje ese campo en blanco si no dispone de una).
  • Haga clic en Restaurar sistema.

Restaurar sistema en Windows 8, 8.1 o 10:

  • Encienda el ordenador y mantenga pulsada la tecla Mayús para entrar en las pantallas de recuperación (si no funciona, reinicie).
  • Seleccione Solución de problemas.
  • Vaya a Opciones avanzadas.
  • Haga clic en Restaurar sistema.

También puede utilizar nuestro AVG PC Rescue CD para eliminar de forma segura el ransomware desde una unidad externa. El siguiente vídeo contiene instrucciones para crear un CD o USB de arranque de AVG Rescue.

 

 

Cómo se recuperan los archivos

La recuperación de sus datos es un asunto totalmente distinto. El cifrado de 32 y 64 bits es fácil de romper. Nuestras herramientas gratuitas de descifrado de ransomware le ayudarán a recuperar archivos infectados con el ransomware más inofensivo, como Apocalypse, Crypt888 o TeslaCrypt.

Sin embargo, hoy en día la mayoría del ransomware (incluidos los célebres WannaCry, Locky o Cerber) utiliza cifrado de 128 bits, o incluso de 256 bits. Y, en ocasiones, una combinación de ambos. Este complejo nivel de cifrado es el que utilizan también servidores, navegadores y VPN para proteger sus datos, ya que es seguro e irrompible.

Si sus archivos están infectados con una de estas variantes más letales, la recuperación es casi imposible. Por ese motivo, no hay mejor protección frente al ransomware que la prevención.

Consejos para la prevención del ransomware

Además de evitar los sitios web y enlaces sospechosos, el spam y los archivos adjuntos de correo electrónico que no esperaba recibir, hay tres acciones esenciales para evitar la pérdida de archivos cuando llegue el siguiente ataque con ransomware.

1. Realice una copia de seguridad de los archivos importantes

En unidades externas. O en la nube. O ambas cosas. Existen tantos servicios de almacenamiento gratuito en la nube que no hay excusa. Dropbox, Google Drive, Mega... Elija el que desee y asegúrese de que todos sus documentos y fotos importantes estén guardados de forma segura. Si quiere ir un paso más allá, elija un servicio con historial de versiones. De ese modo, si alguna vez le pasa algo a su cuenta, podrá restaurar fácilmente a una versión anterior.

ultimate-guide-to-ransomware-backup

2. Utilice un antivirus actualizado

El software antivirus ofrece una protección esencial frente a cualquier intento de dañar su ordenador. No nos gusta presumir, pero nuestro AVG AntiVirus FREE basta para cubrir mucho más de lo que se imagina. Con AVG Internet Security también obtiene Ransomware Protection, que impide que aplicaciones sospechosas alteren sus archivos.

3. Mantenga el sistema operativo actualizado

Si prestó atención cuando hablamos antes de WannaCry, ya sabrá que las actualizaciones de seguridad son esenciales para la protección de su ordenador. El software obsoleto lo hace más vulnerable a toda clase de malware, incluido el ransomware.

¿Pagar o no pagar el rescate?

Llegados a este punto, seguramente ya se haya hecho la temida pregunta. ¡Y qué menos, con lo que asusta el ransomware!

Los hackers no hacen distinciones. Su único objetivo es infectar todos los ordenadores posibles, ya que es así como ganan dinero. Y, además, se trata de un «negocio» muy rentable, ya que las víctimas pagan cientos o miles de dólares para recuperar sus datos.

En junio de 2017, la empresa de hospedaje web surcoreana Nayana pagó 397,6 bitcoines (aproximadamente un millón de dólares en esa fecha) tras un ataque con el ransomware Erebus. Es el mayor rescate pagado hasta la fecha y demuestra lo vulnerables que son las empresas.

Pero está tratando con estafadores, de modo que el pago del rescate no garantiza nada. En ocasiones, si se encuentran a alguien tan desesperado como para pagar, simplemente le suben el precio. O tomemos el ejemplo de Petya: el código de este ransomware contenía un error que hacía imposible recuperar nada. Pero hay algo aún más importante: pagar es un acicate para que los hackers vuelvan a actuar, para que golpeen aún más fuerte y exijan más dinero.

Entonces, ¿debería pagar? Nuestra respuesta es «por supuesto que no». Es mucho mejor hacerse con un buen antivirus para que nunca tenga que preocuparse por el ransomware.

Pruebe AVG Internet Security de forma GRATUITA

 

AVG Internet Security Descarga GRATUITA