Si hace un par
de años era el ransomware el software malicioso que buscaba adueñarse del
control de ordenadores y dispositivos móviles, en los últimos tiempos ha surgido
una nueva y tenebrosa amenaza: el extortionware (extortion, de extorsion, claro).
Si el usuario
cae en el señuelo del extortionware, la víctima no solo puede ver bloqueados
los archivos de su ordenador bajo un cifrado muy fuerte que desconoce y por el
que tendrá que pagar al delincuente si quiere desbloquearlos. En el caso del
visionado de contenido sexual, el incauto puede verse amenazado con la delación
de sus actividades íntimas a sus contactos en las redes sociales y de los
vídeos que trataba de ver.
Este nuevo
malware ha mudado desde las páginas de contenido sexual a las redes
publicitarias generalistas. De este modo, ya no es necesario estar visionando
contenido pornográfico para que salte una petición de actualizar el Flash
Player (programa ejecutor de vídeos) que oculta en realidad la activación de un
virus.
Cómo ataca: Las
redes de delincuentes han desarrollado una estrategia basada en comprar espacio
para anuncios inocuos que pasan el filtro de las plataformas. Los
ciberdelincuentes han conseguido infiltrarse en las redes publicitarias con
anuncios normales y corrientes sin ningún tipo de polémica y que se distribuyen
por la mayoría de las páginas generalistas. ¿Cómo logran pasar el filtro de las
redes publicitarias y las empresas que se dedican a gestionar y distribuir la
publicidad on-line? Por lo general, estas plataformas ponen grandes controles
que filtran posible malware escondido en los anuncios y es difícil colar
programas maliciosos. Sin embargo, estos mafiosos han desarrollado una
estrategia basada en comprar espacio para anuncios inocuos que pasan el filtro
de las plataformas. Una vez dentro del circuito de distribución de publicidad,
solicitan hacer una pequeña actualización del software de soporte del anuncio,
algo común, y es entonces cuando introducen el malware y el requerimiento de
actualización del programa Flash Player. Si se acepta actualizar, en realidad
no se irá a la página de Adobe (empresa propietaria del software), sino que se
activará un virus que se encargará de secuestrar todos los archivos del
ordenador y cifrarlos.
Cuando se ejecuta, se instala en la carpeta de
programas y empieza a cifrar (encriptar) documentos de Office y
LibreOffice, archivos PDF, fotos e ilustraciones, que se vuelven
inaccesibles. Los archivos se cifran con una clave que solo poseen los
autores del virus, lo que imposibilita la recuperación.
Un ejemplo de
este tipo de virus, que además pide dinero por liberar los archivos, es
Cryptowall o Cryptolocker. Descubierto hace un año en diversas páginas
pornográficas, ha sorprendido a los expertos al ser hallado de nuevo camuflado
en anuncios publicitarios en formato flash, el más usado.
Cómo actuar:
Existen una serie de estrategias que permiten evitar el contagio.
La primera es
que cuando se pida realizar la actualización de Flash Player, que es algo que
sucede con cierta periodicidad, no hay que darle al botón de manera automática,
sino que hay que asegurarse de la procedencia de la ventana emergente donde se
solicita la actualización. Si se comprueba que la dirección URL que lleva no
coincide con la de la página de Adobe, hay que evitar la aparente actualización.
Lo mejor es forzar la salida de la página donde se esté e incluso del
navegador.
En caso de que
no se consiga detectar a tiempo el fraude, se debe pasar a la segunda
estrategia para cortar la acción del software malicioso. Para ello, no está de
más contar con un buen cortafuegos y tener activado el antivirus. Por otro
lado, una buena medida es tener alguno de los muchos servicios de
almacenamiento de archivos en la nube, de modo que los datos sensibles siempre
hayan tenido una copia de seguridad que quede aislada del ataque del
extortionware.
En ocasiones,
alguno de estos virus es también capaz de atacar los archivos almacenados en el
servidor de la plataforma, si no se desactiva a tiempo la versión de
escritorio. Por lo tanto, no está de más disponer de un disco duro externo y
desconectado del sistema físicamente donde realizar con periodicidad
copias de seguridad.
Otra acción
urgente es, si ves la pantalla de Cryptolocker, desconecta el equipo de la
red para que el virus no pueda cifrar más archivos ni tampoco comunicar con
los criminales. Desconectar la conexión a Internet también evita que tus
archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.
Igualmente,
puedes ejecutar la herramienta ListCrilock, que crea un archivo TXT con todos
los archivos cifrados por el virus. Otro programa que hace lo mismo es CryptoLocker Scan Tool, que busca archivos tocados por el
virus y te dice si necesitan ser recuperados.
La opción
manual consiste en abrir el Editor del Registro de Windows (Inicio >
Ejecutar > Regedit) e ir hasta la clave HKEY_CURRENT_USER\Software.
Allí verás una carpeta con número y una subcarpeta que contiene los nombres de
los archivos: es la de Cryptolocker. Algunos de esos archivos puede que no
estén cifrados todavía, y en consecuencia se podrán recuperar. Para los demás,
solo puedes buscar en tus copias de seguridad.
Cómo eliminar el virus Cryptolocker del PC
Eliminar
Cryptolocker es bastante sencillo, en parte porque los autores del virus
cuentan con que la víctima está tan aterrorizada que no quiere eliminar la
única forma que tiene de recuperar sus archivos. Por suerte, hay varias formas
de recuperar tus archivos, pero antes debes quitar el virus del sistema.
Para
eliminar Cryptolocker tenemos la herramienta Norton Power Eraser, un potente anti-troyano que
Symantec distribuye gratis en su página. Copiamos Norton Power Eraser al equipo
a través de un pendrive, lo ejecutámos y, al finalizar el escaneo, confirmamos
el borrado de los objetos sospechosos.
Un reinicio
y todo rastro de Cryptolocker habrá desaparecido (nos puede quedar el fondo de
pantalla del virus, que de por sí es totalmente inocuo y se puede cambiar sin
problemas).
Otras
herramientas que funcionan son Malwarebytes, RogueKiller
y ComboFix. Los antivirus tradicionales tienen problemas para
identificar Cryptolocker como una infección, sobre todo por la velocidad con la
que aparecen nuevas variantes, pero ya se están poniendo al día.
Cómo recuperar los archivos infectados por
Cryptolocker
Cryptolocker
solo ataca documentos que se encuentran en el PC y en las unidades de red. No
ataca archivos que se encuentran en unidades desconectadas o en servidores que
están en Internet. Tampoco ataca documentos que se encuentran comprimidos. Su
objetivo son los archivos que se encuentran en PC empresariales.
Extensiones
que ataca Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx,
.xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg,
.wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg,
.jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf,
.mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw,
.x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.
Una vez que
has desinfectado el PC, lo mejor que puedes hacer es recurrir a uno de los
"secretos" más interesantes de Windows, las copias sombra (Shadow
Copy), versiones previas que Windows almacena cada vez que un archivo se
modifica. Para acceder a esta característica basta con hacer clic derecho sobre
un archivo y abrir las propiedad
En la pestaña Versiones previas verás las
diferentes versiones que Windows ha almacenado. Elige la copia de seguridad más
reciente que sea anterior a la infección y haz clic para restaurarla. Una forma
más rápida y cómoda de acceder a todas las copias Shadow que hay en el disco
duro es a través de la herramienta gratuita ShadowExplorer
Shadow
Explorer es muy fácil de usar. Basta con elegir la unidad, la fecha de las
copias -que está en el menú desplegable que hay al lado de las unidades- y
luego navegar por las carpetas y archivos disponibles. Las copias se extraen
con un clic derecho sobre el archivo y otro clic sobre “Exportar”.
Otra opción
para recuperar los archivos es usar una copia de seguridad previa que tuvieses
almacenada en un disco duro desconectado, un servidor remoto o en discos DVD.
Los archivos almacenados en Dropbox, SkyDrive o Drive también son buenos
candidatos para la recuperación.
Los más preocupados pueden usar para protegerse, la herramienta CryptoPrevent para deshabilitar el tipo de
permisos que el virus aprovecha para instalarse. La herramienta modifica las
políticas de seguridad de Windows para evitar que un programa pueda ejecutarse
desde la carpeta de Datos de programa (AppData
En ningún caso se debe ceder a la presión de los
delincuentes y pagar por el rescate de los archivos, ya que, además de fomentar
y financiar este tipo de prácticas, el usuario se expone a no ver resuelta su
extorsión y a someterse a un chantaje mantenido en el tiempo.
Todo intento
de pago erróneo disminuye el tiempo disponible para salvar los archivos.
Para “ayudar” a los afectados, los autores del virus incluso han puesto una
dirección de “soporte técnico” en el fondo de pantalla que Cryptolocker activa
en el PC infectado. Esa dirección contiene la versión web de la herramienta de
descifrado.
En todos los casos, se recomienda denunciar los hechos
al Grupo de Delitos Telemáticos de la Guardia Civil y a la Brigada de
Investigación tecnológica de la Policía Nacional.
