Ransomware
+4
jhessenia_Paton
JOSEALBERTO_RAMIREZRAMIRE
Kevin_Herrera
Sebastian_Villarpando
8 participantes
Página 1 de 1.
Ransomware
Ransomware
Ransom : Rescate
Ware : Mercancia
El ransomware se puede traducir como “cibersecuestro de datos”. Consiste en que un software malicioso infecta nuestro equipo y encripta nuestros archivos, obligándonos a realizar el pago de una determinada cantidad para poder recuperarlos.
Una vez que ha penetrado en el ordenador, el malware se activa y provoca el bloqueo de todo el sistema operativo.
En este sentido, existen dos tipos de bloqueo: sin y con encriptación. El primero de ellos es una toma del sistema sin encriptar los datos. Lo normal es que este malware desactive el Administrador de tareas, blinda el acceso al registro e infecta el fichero EXPLORER.EXE para que desaparezcan los iconos de escritorio. Esto te impedirá usar sus programas.
Por otra parte también está la variante que cripta los datos del disco duro con códigos casi imposibles de descifrar si no conoces la clave. Si la encriptación sólo afecta a archivos del sistema, un antivirus puede recuperar el control reinstalándolos. Pero si está encriptado todo el sistema operativo o, aún peor, los datos del usuario, la única solución es formatear el disco duro, con la inevitable pérdida de datos.
A continuación, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar la información. Éste se suele enviar al cibercriminal mediante transferencia, llamada o SMS.
Para potenciar la incertidumbre y el miedo de la víctima, en ocasiones incluyen en la amenaza la dirección IP, la compañía proveedora de Internet y hasta una fotografía captada desde la webcam.
En muchos casos, aunque pagues, no te devolverán el control del ordenador y tendrás que formatearlo.
WANNA CRY
WannaCry es un malware del tipo ransomware (WCry, WannaCryptor, o WannaDecryptor 2.0) que ha infectado mediante una campaña de difusión masiva a miles de ordenadores en cientos de empresas en alrededor de 99 países.
Según las investigaciones, se utilizó un exploit presente en Windows Vista, Windows 7 y Windows Server 200 llamado de ‘EternalBlue’. Gracias a este exploit, los atacantes pueden ganar acceso remoto a los ordenadores objetivos vía el protocolo SMBv1. El exploit fue dado a conocer gracias a las filtraciones de los documentos de la NSA por parte de Wikileaks. Al parecer esta agencia de inteligencia en Estados Unidos habría estado utilizando esta vulnerabilidad para perpetrar campañas de ciberespionaje.
Desde que EternalBlue fue dado a conocer, Microsoft tomó acciones para prevenir futuros ataques masivos como el ocurrido. Lanzó un parche bajo el nombre clave MS17-010, que corrige el problema de raíz. Al parecer muchas empresas optaron por ignorarlo y sobre todo, ignorar la relevancia de los documentos que Wikileaks expuso en Vault 7.
En cuanto a la instalación de Wanna Cry, no hay mucha ciencia aplicada. El Ransomware se descarga de forma remota, se auto-extrae y auto-ejecuta el instalador. Luego descarga el cliente TOR para poder realizar sus comunicaciones a través de esta red anónima. A partir de aquí, Wanna Cry analiza las bases principales de archivos del sistema y procede a encriptar los tipos de documentos y archivos principalmente utilizados en el sistema. Todo archivo encriptado es renombrado con la extensión .WNCRY.
Tan pronto como se terminan de encriptar los principales archivos, aparece la pantalla que ven a continuación (disponible en 26 idiomas incluidos el español y el inglés) en la que se muestra la información básica sobre el ataque y cómo el usuario puede recuperar sus archivos haciendo el pago correspondiente.
En caso de que el usuario realice el pago, enviando el monto especificado a la dirección Bitcoin, deberá hacer clic en ‘Check Payment’. Al hacerlo, Wanna Cry se conecta nuevamente a unos servidores mediante redes TOR y verifica el pago. En caso de estar correcto, el botón para desencriptar se activa y el usuario puede recuperar sus archivos.
Sebastian_Villarpando- Mensajes : 6
Puntos : 0
Fecha de inscripción : 03/02/2017
Re: Ransomware
RANSOMWARE Y WINDOWS
Una de las consecuencias de los ataques de Ransomware que están siendo noticia en las últimas horas es la “mala imagen que da Microsoft”, y lo que es peor, esta vez sin tener culpa. Muchos medios al informar sobre lo que está sucediendo recalcan que el problema se debe a una vulnerabilidad del sistema, y aunque se añade que dicha vulnerabilidad ya ha sido solucionada hace tiempo por Microsoft, no por ello deja de ser una mala publicidad para los de Redmond.
La principal moraleja de lo que esta pasando es lo que siempre se dice “mantén tus dispositivos actualizados”, por desgracia en muchas compañías esto lleva un proceso más lento, ya que los terminales deben ser actualizados tras haber comprobado que dichas actualizaciones no afectarán a los diversos programas y procesos que realizan.
Microsoft no se ha quedado quieta y ha emitido un comunicado sobre lo sucedido y su postura al respecto:
En consonancia con esto ha decidido lanzar un parche de seguridad (KB4012598) para Windows 8, Windows XP, Windows Vista y Windows Server 2003, los cuales podremos encontrar aquí, ademas de una serie de directrices para ayudar a acabar y prevenir estos ataques, las podéis encontrar aquí. Por ultimo han lanzado una actualización de la base de datos de Windows Defender para poder detectar el culpable de este ataque Ransom:Win32/WannaCrypt.
Lo cierto es que Microsoft en este caso ya actuó con diligencia en su momento y ahora está dando un soporte a la altura en busca de ayudar a sus usuarios, algo que es de alabar.
Si tu eres de los que mantienen sus ordenadores y dispositivos al día en cuanto a actualizaciones se refiere, estate tranquilo ya que no deberías tener problemas.
Pero si no aca tienes un link con actualizaciones de seguridad para este malware para SO antiguos como windows XP y windows vista
[Tienes que estar registrado y conectado para ver este vínculo]
Kevin_Herrera- Mensajes : 6
Puntos : -4
Fecha de inscripción : 03/02/2017
Re: Ransomware
¿Me puede infectar el ransomware WannaCry? Compruébalo
El ransomware WannaCry ha sido el tema de conversación de la semana. Más de 300.000 ordenadores de todo el mundo se han visto afectados por un ataque hacker que cifra los datos del ordenador y, a cambio de recuperar el acceso, solicita el pago de un rescate. Pese a que un héroe ha conseguido frenar temporalmente la infección, existe la posibilidad de que en los próximos días aparezca una nueva variante de este ransomware. ¿Cómo podemos estar seguros de que nuestro ordenador está a salvo?
Para empezar, lo más importante es actualizar nuestro ordenador Windows a la última versión disponible. Microsoft ya solucionó hace meses el agujero de seguridad del que se ha aprovechado el ransomware WannaCry para causar el pánico en todo el mundo, y con la actualización de 4013389 la compañía estadounidense ha cerrado la puerta a cualquier variante de este peligroso virus. Es muy sencillo estar a salvo: mira si tienes la última versión de Windows y, en caso de que hubiera alguna actualización disponible para su descarga, procede inmediatamente a instalara.
Pero existe un truco más. Has de saber que este nuevo ransomware, en realidad, tiene más bien poco de "nuevo": los hackers se han aprovechado del llamado EternalBlue, que es un agujero de seguridad en Windows del que la NSA (la agencia de seguridad estadounidense) ya tenía conocimiento desde hace años. Y precisamente para este agujero de seguridad existe una herramienta de lo más útil llamada Check EternalBlue.
[url=blob:https://www.dailymotion.com/653fb71f-16e4-495f-a5e3-013b8ea1e1f5]blob:https://www.dailymotion.com/653fb71f-16e4-495f-a5e3-013b8ea1e1f5[/url]
Check EternalBlue, tal y como su propio nombre indica, es una herramienta que permite comprobar si un ordenador está expuesto al agujero de seguridad de EternalBlue. Si un PC está expuesto a EternalBlue, también lo está tanto al último ransomware de WannaCry como a cualquiera de sus variantes que sin duda empezarán a aparecer en las próximas semanas; en cambio, si el ordenador está protegido frente a este agujero en concreto, entonces es imposible que pueda caer en la misma trampa que los equipos que sí están expuestos.
El programa de Check EternalBlue su funcionamiento es muy sencillo: tan solamente hay que ejecutarlo en el ordenador y esperar a que el programa compruebe si nuestro PC está actualizado frente a esta amenaza de seguridad. Con tener actualizado nuestro Windows a la última versión disponible es suficiente para estar a salvo de este ransomware, pero este programa puede ayudar a tranquilizar a todos aquellos que no estén del todo seguros de tener instalada la actualización de seguridad que frena a WannaCry.
JOSEALBERTO_RAMIREZRAMIRE- Mensajes : 5
Puntos : -9
Fecha de inscripción : 03/02/2017
Edad : 27
Localización : LA PAZ
Re: Ransomware
Qué es el ransomware
El ransomware (también conocido como rogueware o scareware) restringe el acceso a su sistema y exige el pago de un rescate para eliminar la restricción.
Ransomware
De dónde procede el ransomware
El ransomware lo crean estafadores con un gran conocimiento en programación informática. Puede entrar en su PC mediante un adjunto de correo electrónico o a través de su navegador si visita una página web infectada con este tipo de malware. También puede acceder a su PC a través de su red.
Cómo reconocer el ransomware
Es obvio cuando su dispositivo ha sido infectado con ransomware, ya que probablemente no podrá acceder a su equipo.
Cómo eliminar el ransomware
Haga uso de la herramienta de eliminación de ransomware de su software antivirus, que debería buscar y eliminar cualquier intento de ransomware encontrado en su equipo.
Herramientas gratuitas de eliminación de ransomware
Puede descargar herramientas gratuitas de anti-ransomware a continuación. Estas herramientas eliminarán de su equipo los virus de ransomware y descifrarán cualquier archivo que se haya cifrado durante el ataque. También le informarán sobre los tipos de ransomware y le mostrarán qué aspecto tienen.
Alcatraz Locker
Apocalypse
BadBlock
Bart
Crypt888
CrySiS
Globe
Legion
NoobCrypt
SZFLocker
TeslaCrypt
Cómo evitar el ransomware
Asegúrese de que todo el software de su equipo está actualizado, incluyendo su sistema operativo, su navegador y cualquier complemento de barra de herramientas que utilice.
Asegúrese de que su software antivirus y su protección cortafuegos están actualizados
El ransomware (también conocido como rogueware o scareware) restringe el acceso a su sistema y exige el pago de un rescate para eliminar la restricción.
Ransomware
De dónde procede el ransomware
El ransomware lo crean estafadores con un gran conocimiento en programación informática. Puede entrar en su PC mediante un adjunto de correo electrónico o a través de su navegador si visita una página web infectada con este tipo de malware. También puede acceder a su PC a través de su red.
Cómo reconocer el ransomware
Es obvio cuando su dispositivo ha sido infectado con ransomware, ya que probablemente no podrá acceder a su equipo.
Cómo eliminar el ransomware
Haga uso de la herramienta de eliminación de ransomware de su software antivirus, que debería buscar y eliminar cualquier intento de ransomware encontrado en su equipo.
Herramientas gratuitas de eliminación de ransomware
Puede descargar herramientas gratuitas de anti-ransomware a continuación. Estas herramientas eliminarán de su equipo los virus de ransomware y descifrarán cualquier archivo que se haya cifrado durante el ataque. También le informarán sobre los tipos de ransomware y le mostrarán qué aspecto tienen.
Alcatraz Locker
Apocalypse
BadBlock
Bart
Crypt888
CrySiS
Globe
Legion
NoobCrypt
SZFLocker
TeslaCrypt
Cómo evitar el ransomware
Asegúrese de que todo el software de su equipo está actualizado, incluyendo su sistema operativo, su navegador y cualquier complemento de barra de herramientas que utilice.
Asegúrese de que su software antivirus y su protección cortafuegos están actualizados
jhessenia_Paton- Mensajes : 2
Puntos : 2
Fecha de inscripción : 16/02/2017
Wanna Cry
'Wanna Cry', cual afectó a miles de computadores en todo el mundo en un ataque simultáneo de grandes proporciones.
¿Qué pasó?
El viernes 12 se descubrió un ataque a nivel mundial, de un virus de computador llamado ‘WannaCry’, de la modalidad ‘ramsomware’, que atacó a miles de computadores, especialmente en empresas y entidades, logrando secuestrar información y solicitando un rescate en pago de dinero electrónico (bitcoin) de varios miles de euros y dólares.
¿Cómo funciona?
WannaCry aprovecha un hueco de seguridad en el sistema Windows, en especial en versiones antiguas, para darle el control a un atacante externo del PC infectado. El virus selecciona información muy valiosa presente en el computador (bases de datos, aplicaciones de trabajo, datos de negocio, etc.) y los ‘encripta’, es decir, les pone un código que los vuelve inaccesibles. La persona de un momento a otro ve un mensaje en su pantalla que le informa del secuestro de su información y la exigencia de un pago de dinero a una cuenta bancaria. Esta modalidad de virus se llama ‘ramsonware’ y es la que hoy en día está más de moda.
¿Cómo se infectan los computadores?
La gente recibe un correo electrónico con un archivo adjunto, el cual abren desprevenidamente (puede ser una foto, un video o un archivo de oficina infectados) y le permite al programa malicioso activarse y aprovechar el hueco de seguridad de Windows. El virus actúa silenciosamente: si no ‘ve’ información interesante para secuestrar, se pasa a otro equipo de la red de la empresa, hasta lograr su objetivo. También infecta memorias y discos duros extraíbles USB.
¿Por qué se expandió rápidamente?
Porque la mayoría de empresas atacadas no usan versiones recientes de Windows. Y las que tienen están desactualizadas. Microsoft, empresa fabricante del sistema operativo Windows, había alertado el 14 de abril pasado de la vulnerabilidad y lanzado un parche que la corregía. Lastimosamente muchas empresas no atendieron la alerta
¿Qué pasó?
El viernes 12 se descubrió un ataque a nivel mundial, de un virus de computador llamado ‘WannaCry’, de la modalidad ‘ramsomware’, que atacó a miles de computadores, especialmente en empresas y entidades, logrando secuestrar información y solicitando un rescate en pago de dinero electrónico (bitcoin) de varios miles de euros y dólares.
¿Cómo funciona?
WannaCry aprovecha un hueco de seguridad en el sistema Windows, en especial en versiones antiguas, para darle el control a un atacante externo del PC infectado. El virus selecciona información muy valiosa presente en el computador (bases de datos, aplicaciones de trabajo, datos de negocio, etc.) y los ‘encripta’, es decir, les pone un código que los vuelve inaccesibles. La persona de un momento a otro ve un mensaje en su pantalla que le informa del secuestro de su información y la exigencia de un pago de dinero a una cuenta bancaria. Esta modalidad de virus se llama ‘ramsonware’ y es la que hoy en día está más de moda.
¿Cómo se infectan los computadores?
La gente recibe un correo electrónico con un archivo adjunto, el cual abren desprevenidamente (puede ser una foto, un video o un archivo de oficina infectados) y le permite al programa malicioso activarse y aprovechar el hueco de seguridad de Windows. El virus actúa silenciosamente: si no ‘ve’ información interesante para secuestrar, se pasa a otro equipo de la red de la empresa, hasta lograr su objetivo. También infecta memorias y discos duros extraíbles USB.
¿Por qué se expandió rápidamente?
Porque la mayoría de empresas atacadas no usan versiones recientes de Windows. Y las que tienen están desactualizadas. Microsoft, empresa fabricante del sistema operativo Windows, había alertado el 14 de abril pasado de la vulnerabilidad y lanzado un parche que la corregía. Lastimosamente muchas empresas no atendieron la alerta
Henry_Morales- Mensajes : 5
Puntos : -5
Fecha de inscripción : 03/02/2017
Re: Ransomware
Qué hacer si tu sistema se ve afectado por el virus del ‘ransomware’
Protegerse es relativamente fácil si se mantienen las actualizaciones del sistema operativo y no se abren correos de remitentes desconocidos
Es muy posible que no haya oído hablar del ransomware hasta el pasado fin de semana, cuando esta técnica coactiva vestida en forma de virus ha puesto en jaque a grandes corporaciones y organismos de 179 países. Sin embargo, esta modalidad de secuestro de los datos en forma de virus lleva ya mucho tiempo infectando miles de ordenadores por todo el globo empleando la misma técnica: se accede al sistema (por lo general mediante un adjunto en el email), se cifra el contenido, y se pide un rescate en bitcoins para su liberación bajo la amenaza de eliminarlo o hacerlo público.
Viendo que este virus ha comprometido los sistemas de servicios de salud y grandes empresas, uno puede pensar que queda libre del ataque del ransomware. Pero este malware no distingue particulares de empresas y puede terminar fácilmente comprometiendo la información de su ordenador y pidiendo un rescate por la misma. ¿Cómo debe uno protegerse del ataque? Pese a lo masivo del mismo, lo cierto es que protegerse es relativamente fácil si se siguen los siguientes consejos:
Usar un sistema operativo actual y con las actualizaciones activadas
Microsoft ha estado en la diana desde que se supo que diferentes vulnerabilidades de Windows facilitaron la difusión de WannaCry en los sistemas atacados; pero lo cierto es que la firma de Redmond respondió con rapidez ante la amenaza mediante una actualización o parche de seguridad que impedía el acceso a este código malicioso. ¿Qué falló entonces? Por un lado, la lentitud de las grandes corporaciones en adoptar las actualizaciones en sus sistemas (deben comprobar que la nueva versión no afecta al rendimiento en su red), y por otro lado, la variedad de versiones de Windows existentes entre los usuarios.
Microsoft recuerda que Windows 10, la versión actual de la plataforma, nunca se ha visto afectada por el ataque
Microsoft recuerda que Windows 10, la versión actual de la plataforma, nunca se ha visto afectada por el ataque, pero sin embargo existen miles de ordenadores con versiones anteriores del sistema operativo (muchos de ellos corriendo todavía XP). "Windows es una plataforma hoy en día muy segura", zanja Vicente Díaz, analista de la firma de seguridad Kaspersky. "Lo que sucede es que hay muchas versiones obsoletas en el mercado y con usuarios que no las actualizan", añade. Lo cierto es que ha sido precisamente la desidia de los usuarios el eslabón más débil del sistema que ha sido aprovechado por los atacantes: "Los criminales se aprovechan del hecho de que muchos usuarios no hacen lo suficiente por proteger sus equipos", explica Marty P. Kamden de North VPN.
No abrir adjuntos de remitentes desconocidos
La puerta de entrada del ransomware son los adjuntos en los correos electrónicos. Se trata de documentos con títulos sugerentes o que pretenden confundir al usuario, y la máxima principal reside en ser disciplinado en este asunto: nunca abrir un adjunto del que no se esté completamente seguro su origen. Por lo general, ni los bancos ni otro tipo de entidades públicas envían adjuntos en los emails, con lo que si llega alguno, se debe permanecer alerta y nunca, bajo ningún concepto, abrir el documento.
Hacer copias de seguridad con frecuencia
El principal elemento de extorsión que emplea el ransomware es la pérdida de datos: si no se paga se borra para siempre todo el contenido cifrado. Si el usuario ha sido disciplinado haciendo copias de seguridad, no temerá tanto perder el contenido de días o incluso horas, que quien lleva meses o años sin respaldar sus datos. "Algunos pequeños negocios que teman perder toda la contabilidad pueden sentirse tentados en pagar, algo que se evita si se hacen copias de seguridad con frecuencia", explica Díaz.
Utilizar antivirus
Parte del mérito del gran incremento en seguridad logrado por Windows reside en Windows Defender, lo que Microsoft define como "centro de seguridad" integrado en las últimas versiones de Windows y que ofrece un servicio antivirus y cortafuegos para el usuario. Los de Redmond se encargar de mantener esta barrera actualizada permanentemente y el usuario debe preocuparse únicamente de mantenerla actualizada (o activar la actualización automática), pero los que empleen versiones de Windows que no integren esta barrera, deberán instalar otro tipo de antivirus y mantenerlo actualizado siempre a la última versión.
No se debe pagar. En muchísimas ocasiones, los ladrones toman el dinero del rescate y no 'liberan al rehén' tras el pago
Nunca pagar
El mensaje en pantalla que ven los usuarios afectados por el ransomware puede resultar tentador: pagar cantidades no muy grandes por el rescate y en minutos tener sus datos de vuelta en los discos duros. Sin embargo, los expertos no recomiendan el pago del rescate bajo ninguna circunstancia: por un lado, es tal la presión de las autoridades y los sistemas de seguridad que muchos de los atacantes simplemente se esfuman y sus servidores son inutilizados, con lo que en muchísimas ocasiones toman el dinero del rescate y no liberan al rehén tras el pago. Por otro lado, el pago del ransomware sirve de aliciente para fomentar esta actividad delictiva. Está claro que si cada vez son menos los que sucumben, será menos rentable esta forma de criminalidad.
SaraYoselin_HuancaCopari- Mensajes : 7
Puntos : 1
Fecha de inscripción : 03/02/2017
Edad : 28
Re: Ransomware
TIPOS DE RANSOMWARE
Reveton
En 2012 se comenzó a diseminar un ransomware llamado Reveton. Estaba basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde reside la víctima. Por este funcionamiento se lo comenzó a nombrar como Trojan cop, o "troyano de la policía", debido a que alegaba que el computador había sido utilizado para actividades ilícitas, tales como descargar software pirata o pornografía infantil. El troyano despliega una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarla, mediante el pago de un vale a una cuenta anónima como puede ser Ukash o Paysafecard.
Con el objetivo de hacer creer a la víctima que su computador está siendo rastreado por la ley, es que se muestra la dirección IP del computador en la pantalla además de que se puede desplegar material de archivo simulando que la cámara web del computador está filmando a la víctima.
A principios del año 2012 comenzó su expansión por varios países de Europa; según el país podría variar el logo referente a las Fuerzas de la Ley referentes a cada país. Por ejemplo, en el Reino Unido, contenía el logo del Servicio de Policía Metropolitana. Debido a estos sucesos, la Policía Metropolitana envió un comunicado informando que bajo ningún concepto ellos bloquearían un computador ni siquiera como parte de una investigación.
En mayo de 2012, Trend Micro descubrió las variaciones de este malware para los Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo en América del Norte. En agosto de 2012, se comenzó a utilizar el logo del FBI para reclamar una fianza de 200 dólares a pagar mediante una tarjeta de aMoneyPak a los propietarios de computadores infectados. En febrero de 2013, un ciudadano ruso fue arrestado en Dubái por autoridades españolas debido a su conexión con la red criminal que había estado usando Reveton, a este ciudadano se le sumaron otras diez personas con cargos por lavado de dinero.
En agosto de 2014, Avast reportó nuevas variantes de Reveton, donde se distribuía software malicioso con el fin de robar contraseñas.
CryptoLocker
En septiembre de 2013 hizo su reaparición el ransomware basado en el cifrado de archivos también conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de un tipo de extensión específica. El virus elimina la clave privada a través del pago de un bitcoin o un bono prepago en efectivo dentro de los tres días luego de la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil reparar la infección de un sistema.
En caso de que el pago se retrase más allá de los tres días el precio incrementa a 10 bitcoins, lo que equivalía, aproximadamente, a 2300 dólares, en noviembre de 2013.
CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS, tal cual fue anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2 de junio de 2014.
El Departamento de Justicia emitió una acusación en contra del ciberdelincuente ruso Evgeniy Bogachev (Евгений Богачев) alegando su participación en la red GameoverZeuS. Se estima que al menos tres millones de dólares se cobraron hasta que el malware fue dado de baja.
CryptoLocker.F y TorrentLocker
En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos en Australia, denominados CryptoWall y CryptoLocker. Las infecciones se propagaban a través de una cuenta falsa del correo australiano la cual enviaba un correo electrónico notificando entregas fallidas de paquetes. De este modo se evadía el chequeo del correo en los filtros de antispam y conseguía que llegasen a los destinatarios. Esta variante requería que los usuarios ingresaran en una página web y, previa comprobación mediante un código CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware en el correo o en los enlaces insertados.
Symantec determinó la aparición de nuevas variantes conocidas como CryptoLocker.F, el cual no tenía ninguna relación al original debido a sus diferencias en el funcionamiento. La Corporación Australiana de Broadcasting fue víctima de estos malware, la cual, durante media hora, interrumpió su programa de noticias ABC News 24 y tuvo que trasladarse a los estudios de Melbourne y abandonar las computadoras pertenecientes al estudio de Sídney debido a CryptoWall.
TorrentLocker es otro tipo de infección con un defecto, ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado pasó a ser trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y 11 700 en Turquía.
CryptoWall
CryptoWall es una variedad de ransomware que surgió a principios de 2014 bajo el nombre de CryptoDefense dirigida a los sistemas operativos Microsoft Windows. Se propaga a través del correo electrónico con suplantación de identidad, en el cual se utiliza software de explotación como Fiesta o Magnitud para tomar el control del sistema, cifrar archivos y así pedir el pago del rescate del computador. El rango de precios se encuentra entre los 500 y 1000 dólares.
En marzo de 2014, José Vildoza, un programador argentino, desarrolló una herramienta para recuperar los archivos de las víctimas de manera gratuita. La recuperación de archivos fue posible gracias a una falla en el programa malicioso por el cual las claves de cifrado quedaban guardadas en el equipo afectado.[5] [6]
Cuando los autores se percataron del error, actualizaron el criptovirus nombrándolo CryptoWall, pasando luego por distintas actualizaciones hasta llegar a la versión 3.0.
CryptoWall 3.0 ha sido reportado desde enero de 2015 como una infección que está surgiendo donde hackers rusos se encuentran detrás de esta extorsión.
TeslaCrypt
TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave maestra para el descifrado de los ficheros atacados es pública. Existe una herramienta gratuita de la empresa ESET que permite realizar este trabajo.
Mamba
Un grupo de investigadores de seguridad de Brasil, llamado Morphus Labs, acaba de descubrir un nuevo ransomware de cifrado de disco completo (FDE - Full Disk Encryption) esta misma semana, llamado Mamba. Mamba, como lo llamaron, utiliza una estrategia de cifrado a nivel de disco en lugar de uno basado en archivos convencionales. Para obtener la clave de descifrado, es necesario ponerse en contacto con alguien a través de la dirección de correo electrónico proporcionada. Sin eso, el sistema no arranca.
El ransomware Mamba se ha identificado el 7 de septiembre durante un procedimiento de respuesta a incidentes por parte de Renato Marinho, un experto en seguridad de Morphus laboratorios. Esta amenaza de malware utiliza el cifrado a nivel de disco que causa mucho más daño que los ataques basados en archivos individuales. Los desarrolladores criminales han utilizado el DiskCryptor para cifrar la información., una herramienta de código abierto
Se hizo una comparación con el virus Petya que también utiliza disco cifrado. Sin embargo, Petya cifra solamente la tabla maestra de archivos (MFT) con lo que no afectan a los datos en sí.
Tras la exitosa infiltración, Mamba crea su carpeta titulada DC22 en la unidad C del equipo donde coloca sus archivos binarios. Un servicio del sistema se crea y alberga el proceso del ransomware. Un nuevo usuario llamado MythBusters se crea asociado con la contraseña 123456.
También sobrescribe el registro de inicio maestro (MBR) del disco del sistema que contiene el gestor de arranque para el sistema operativo. Esto prohíbe efectivamente al usuario de incluso cargar el sistema operativo sin ingresar el código de descifrado.
WannaCry
WanaCrypt0r o también conocido como "WannaCry" es un ransomware "activo" que apareció el 12 de mayo de 2017 con origen en el arsenal estadounidense de malware Vault 7 revelado por Wikileaks pocas semanas antes, el codigo malicioso ataca una vulnerabilidad descrita en el boletín MS17-010 en sistemas Windows que no estén actualizados de una manera adecuada. Provocó el cifrado de datos en más de 75 mil ordenadores por todo el mundo afectando, entre otros, a:
Rusia: red semafórica, metro e incluso el Ministerio del Interior;
Reino Unido: gran parte de los centros hospitalarios;
Estados Unidos;
España: empresas tales como: Telefónica, BBVA, Gas Natural e Iberdrola.
El ransomware cifra los datos que, para poder recuperarse, pide que se pague una cantidad determinada, en un tiempo determinado. Si el pago no se hace en el tiempo determinado, el usuario no podrá tener acceso a los datos cifrados por la infección. WannaCry se ha ido expandiendo por Estados Unidos, China, Rusia, Italia, Taiwán, Reino Unido y España, al igual de que se señala que los sistemas operativos más vulnerables ante el ransomware son Windows Vista, Windows 7, Windows Server 2012, Windows 10 y Windows Server 2016.
Un ordenador infectado que se conecte a una red puede contagiar el ransomware a otros dispositivos conectados a la misma, pudiendo infectar a dispositivos móviles. A su inicio, WanaCrypt0r comienza a cifrar los archivos de la víctima de una manera muy rápida.
Paloma_Soto- Mensajes : 11
Puntos : 11
Fecha de inscripción : 09/02/2017
Edad : 28
El 'ransomware' se ha convertido en la peste negra digital
El virus que ha dejado KO a Telefónica y a medio planeta no es un desconocido en el mundo de la seguridad informática, ni tampoco es Telefónica la primera empresa que cae bajo el ataque de un 'ransomware'. En solo cinco años, estos virus se han situado en el top 3 de las peores amenazas informáticas. El apocalipsis se veía venir y acaba de suceder: alguien ha convertido un 'ransomware' en un 'gusano' que se propaga solo por las redes de forma automática.
Expertos en ciberseguridad tan respetados como el inglés Kevin Beaumont o el español Bernardo Quintero, creador de VirusTotal, avalan la tesis de que estamos ante un 'gusano'. En el caso de Telefónica, está confirmado que la infección inicial se produjo por una campaña de 'spam', pero lo más preocupante es que no era ni necesario. Con este tipo de 'gusanos', es posible infectar miles de equipos sin que un despistado empleado pinche en un archivo adjunto de su correo electrónico o enchufe un USB malicioso a su ordenador interno de la compañía.
La realidad ahora puede ser más brutal. En este ataque masivo y mundial, muy centrado en Europa, alguien habría lanzado 'gusanos' con funciones de 'ransomware' a internet. Esas funciones serían: cifrar los ordenadores que encontrase a su paso y pedir un rescate de 300 euros por cada uno, a cambio de la clave que los descifra.
El agujero por el que se mete este gusano es una vulnerabilidad de Windows para la que existía un parche; las empresas afectadas no hicieron nada
En cuanto a las funciones del 'gusano', estas serían pasearse por las redes de forma autónoma a la búsqueda de ordenadores que tuviesen un agujero concreto, 'meterse' por él, infectarlo y seguir su camino imparable. Solo con que uno de estos gusanos hubiese llegado a la red de Telefónica, quizás procedente de Rusia o Taiwán, donde ha habido infecciones aún más masivas que en España, sería suficiente para iniciar este caos histórico.
El agujero por el que se mete este gusano es una vulnerabilidad de Windows de la que informó Microsoft el 14 de marzo y para la que existía un parche desde entonces que, incomprensiblemente, las empresas afectadas no habían aún instalado, quizás al tener miles de ordenadores y políticas de seguridad no exhaustivas. O bien, también incomprensiblemente, no usaban antivirus, dado que la mayoría de antivirus detectaban este 'ransomware', según datos de VirusTotal.
El conocimiento de este agujero de seguridad se lo debemos a Equation Group, uno de los grupos de hackers de élite de la NSA, quienes 'disfrutaron' de él durante años, hasta que otro grupo de hackers, llamado Shadow Brokers, les robó esta información y la difundieron al mundo.
Como todos los 'ransomware' de hoy en día, este también cobra sus rescates con la moneda virtual Bitcoin. El rastreo de las direcciones Bitcoin que los criminales han facilitado a sus víctimas para que paguen el rescate está demostrando que muchas de ellas están pagando. Como explica Lorenzo Martínez, director técnico de Securízame, una de las claves del éxito del 'ransomware' es precisamente que "hay una forma de resolver el ataque basado en pagar un rescate que es asequible en precio y que realmente te lo arreglan, no es un engaño". Según Verizon, un 64% de las víctimas acaban pagando.
El 70% de los ataques en la actualidad
La posibilidad de un logro económico inmediato ha hecho crecer como la espuma el 'cibercrimen' organizado relacionado con el 'ransomware', creándose incluso un modelo de negocio: el 'ransomware-como-servicio'. En esta modalidad se ofrecen diferentes servicios a quien quiera iniciarse en este crimen, no sepa nada de informática pero tenga dinero para pagarlo: hay quien le venderá el virus, quien le montará el servicio de cobro con Bitcoins, e incluso quien le organizará la infección.
Así las cosas, la cifra de ataques de 'ransomware' lleva doblándose en todo el mundo desde al menos 2014, cuando empezó a ser un ataque masivo. La policía puede hacer poco contra estos delincuentes, escudados en el 'cibercrimen' internacional, atacando normalmente a particulares y empresas pequeñas que no tienen recursos propios para luchar contra ellos, excepto la consabida denuncia policial.
Omar_Paredes_4900126- Mensajes : 3
Puntos : -3
Fecha de inscripción : 03/02/2017
Edad : 28
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.