Ransomware

El ransomware WannaCry ha sido el tema de conversación de la semana. Más de 300.000 ordenadores de todo el mundo se han visto afectados por un ataque hacker que cifra los datos del ordenador y, a cambio de recuperar el acceso, solicita el pago de un rescate. Pese a que un héroe ha conseguido frenar temporalmente la infección, existe la posibilidad de que en los próximos días aparezca una nueva variante de este ransomware. ¿Cómo podemos estar seguros de que nuestro ordenador está a salvo?
Para empezar, lo más importante es actualizar nuestro ordenador Windows a la última versión disponible. Microsoft ya solucionó hace meses el agujero de seguridad del que se ha aprovechado el ransomware WannaCry para causar el pánico en todo el mundo, y con la actualización de 4013389 la compañía estadounidense ha cerrado la puerta a cualquier variante de este peligroso virus. Es muy sencillo estar a salvo: mira si tienes la última versión de Windows y, en caso de que hubiera alguna actualización disponible para su descarga, procede inmediatamente a instalara.
Pero existe un truco más. Has de saber que este nuevo ransomware, en realidad, tiene más bien poco de "nuevo": los hackers se han aprovechado del llamado EternalBlue, que es un agujero de seguridad en Windows del que la NSA (la agencia de seguridad estadounidense) ya tenía conocimiento desde hace años. Y precisamente para este agujero de seguridad existe una herramienta de lo más útil llamada Check EternalBlue.
[url=blob:https://www.dailymotion.com/653fb71f-16e4-495f-a5e3-013b8ea1e1f5]blob:https://www.dailymotion.com/653fb71f-16e4-495f-a5e3-013b8ea1e1f5[/url]

Check EternalBlue, tal y como su propio nombre indica, es una herramienta que permite comprobar si un ordenador está expuesto al agujero de seguridad de EternalBlue. Si un PC está expuesto a EternalBlue, también lo está tanto al último ransomware de WannaCry como a cualquiera de sus variantes que sin duda empezarán a aparecer en las próximas semanas; en cambio, si el ordenador está protegido frente a este agujero en concreto, entonces es imposible que pueda caer en la misma trampa que los equipos que sí están expuestos.
El programa de Check EternalBlue  su funcionamiento es muy sencillo: tan solamente hay que ejecutarlo en el ordenador y esperar a que el programa compruebe si nuestro PC está actualizado frente a esta amenaza de seguridad. Con tener actualizado nuestro Windows a la última versión disponible es suficiente para estar a salvo de este ransomware, pero este programa puede ayudar a tranquilizar a todos aquellos que no estén del todo seguros de tener instalada la actualización de seguridad que frena a WannaCry.

Qué es el ransomware

El ransomware (también conocido como rogueware o scareware) restringe el acceso a su sistema y exige el pago de un rescate para eliminar la restricción.
Ransomware



De dónde procede el ransomware

El ransomware lo crean estafadores con un gran conocimiento en programación informática. Puede entrar en su PC mediante un adjunto de correo electrónico o a través de su navegador si visita una página web infectada con este tipo de malware. También puede acceder a su PC a través de su red.

Cómo reconocer el ransomware



Es obvio cuando su dispositivo ha sido infectado con ransomware, ya que probablemente no podrá acceder a su equipo.

Cómo eliminar el ransomware

Haga uso de la herramienta de eliminación de ransomware de su software antivirus, que debería buscar y eliminar cualquier intento de ransomware encontrado en su equipo.

Herramientas gratuitas de eliminación de ransomware

Puede descargar herramientas gratuitas de anti-ransomware a continuación. Estas herramientas eliminarán de su equipo los virus de ransomware y descifrarán cualquier archivo que se haya cifrado durante el ataque. También le informarán sobre los tipos de ransomware y le mostrarán qué aspecto tienen.
Alcatraz Locker
Apocalypse
BadBlock
Bart
Crypt888
CrySiS
Globe
Legion
NoobCrypt
SZFLocker
TeslaCrypt
Cómo evitar el ransomware



Asegúrese de que todo el software de su equipo está actualizado, incluyendo su sistema operativo, su navegador y cualquier complemento de barra de herramientas que utilice.
Asegúrese de que su software antivirus y su protección cortafuegos están actualizados

'Wanna Cry', cual afectó a miles de computadores en todo el mundo en un ataque simultáneo de grandes proporciones.

¿Qué pasó?
El viernes 12 se descubrió un ataque a nivel mundial, de un virus de computador llamado ‘WannaCry’, de la modalidad ‘ramsomware’, que atacó a miles de computadores, especialmente en empresas y entidades, logrando secuestrar información y solicitando un rescate en pago de dinero electrónico (bitcoin) de varios miles de euros y dólares.

¿Cómo funciona?
WannaCry aprovecha un hueco de seguridad en el sistema Windows, en especial en versiones antiguas, para darle el control a un atacante externo del PC infectado. El virus selecciona información muy valiosa presente en el computador (bases de datos, aplicaciones de trabajo, datos de negocio, etc.) y los ‘encripta’, es decir, les pone un código que los vuelve inaccesibles. La persona de un momento a otro ve un mensaje en su pantalla que le informa del secuestro de su información y la exigencia de un pago de dinero a una cuenta bancaria. Esta modalidad de virus se llama ‘ramsonware’ y es la que hoy en día está más de moda.

¿Cómo se infectan los computadores?
La gente recibe un correo electrónico con un archivo adjunto, el cual abren desprevenidamente (puede ser una foto, un video o un archivo de oficina infectados) y le permite al programa malicioso activarse y aprovechar el hueco de seguridad de Windows. El virus actúa silenciosamente: si no ‘ve’ información interesante para secuestrar, se pasa a otro equipo de la red de la empresa, hasta lograr su objetivo. También infecta memorias y discos duros extraíbles USB.

¿Por qué se expandió rápidamente?
Porque la mayoría de empresas atacadas no usan versiones recientes de Windows. Y las que tienen están desactualizadas. Microsoft, empresa fabricante del sistema operativo Windows, había alertado el 14 de abril pasado de la vulnerabilidad y lanzado un parche que la corregía. Lastimosamente muchas empresas no atendieron la alerta

Protegerse es relativamente fácil si se mantienen las actualizaciones del sistema operativo y no se abren correos de remitentes desconocidos


Es muy posible que no haya oído hablar del ransomware hasta el pasado fin de semana, cuando esta técnica coactiva vestida en forma de virus ha puesto en jaque a grandes corporaciones y organismos de 179 países. Sin embargo, esta modalidad de secuestro de los datos en forma de virus lleva ya mucho tiempo infectando miles de ordenadores por todo el globo empleando la misma técnica: se accede al sistema (por lo general mediante un adjunto en el email), se cifra el contenido, y se pide un rescate en bitcoins para su liberación bajo la amenaza de eliminarlo o hacerlo público.
Viendo que este virus ha comprometido los sistemas de servicios de salud y grandes empresas, uno puede pensar que queda libre del ataque del ransomware. Pero este malware no distingue particulares de empresas y puede terminar fácilmente comprometiendo la información de su ordenador y pidiendo un rescate por la misma. ¿Cómo debe uno protegerse del ataque? Pese a lo masivo del mismo, lo cierto es que protegerse es relativamente fácil si se siguen los siguientes consejos:

Usar un sistema operativo actual y con las actualizaciones activadas

Microsoft ha estado en la diana desde que se supo que diferentes vulnerabilidades de Windows facilitaron la difusión de WannaCry en los sistemas atacados; pero lo cierto es que la firma de Redmond respondió con rapidez ante la amenaza mediante una actualización o parche de seguridad que impedía el acceso a este código malicioso. ¿Qué falló entonces? Por un lado, la lentitud de las grandes corporaciones en adoptar las actualizaciones en sus sistemas (deben comprobar que la nueva versión no afecta al rendimiento en su red), y por otro lado, la variedad de versiones de Windows existentes entre los usuarios.

Microsoft recuerda que Windows 10, la versión actual de la plataforma, nunca se ha visto afectada por el ataque

Microsoft recuerda que Windows 10, la versión actual de la plataforma, nunca se ha visto afectada por el ataque, pero sin embargo existen miles de ordenadores con versiones anteriores del sistema operativo (muchos de ellos corriendo todavía XP). "Windows es una plataforma hoy en día muy segura", zanja Vicente Díaz, analista de la firma de seguridad Kaspersky. "Lo que sucede es que hay muchas versiones obsoletas en el mercado y con usuarios que no las actualizan", añade. Lo cierto es que ha sido precisamente la desidia de los usuarios el eslabón más débil del sistema que ha sido aprovechado por los atacantes: "Los criminales se aprovechan del hecho de que muchos usuarios no hacen lo suficiente por proteger sus equipos", explica Marty P. Kamden de North VPN.

No abrir adjuntos de remitentes desconocidos

La puerta de entrada del ransomware son los adjuntos en los correos electrónicos. Se trata de documentos con títulos sugerentes o que pretenden confundir al usuario, y la máxima principal reside en ser disciplinado en este asunto: nunca abrir un adjunto del que no se esté completamente seguro su origen. Por lo general, ni los bancos ni otro tipo de entidades públicas envían adjuntos en los emails, con lo que si llega alguno, se debe permanecer alerta y nunca, bajo ningún concepto, abrir el documento.

Hacer copias de seguridad con frecuencia

El principal elemento de extorsión que emplea el ransomware es la pérdida de datos: si no se paga se borra para siempre todo el contenido cifrado. Si el usuario ha sido disciplinado haciendo copias de seguridad, no temerá tanto perder el contenido de días o incluso horas, que quien lleva meses o años sin respaldar sus datos. "Algunos pequeños negocios que teman perder toda la contabilidad pueden sentirse tentados en pagar, algo que se evita si se hacen copias de seguridad con frecuencia", explica Díaz.

Utilizar antivirus

Parte del mérito del gran incremento en seguridad logrado por Windows reside en Windows Defender, lo que Microsoft define como "centro de seguridad" integrado en las últimas versiones de Windows y que ofrece un servicio antivirus y cortafuegos para el usuario. Los de Redmond se encargar de mantener esta barrera actualizada permanentemente y el usuario debe preocuparse únicamente de mantenerla actualizada (o activar la actualización automática), pero los que empleen versiones de Windows que no integren esta barrera, deberán instalar otro tipo de antivirus y mantenerlo actualizado siempre a la última versión.

No se debe pagar. En muchísimas ocasiones, los ladrones toman el dinero del rescate y no 'liberan al rehén' tras el pago

Nunca pagar

El mensaje en pantalla que ven los usuarios afectados por el ransomware puede resultar tentador: pagar cantidades no muy grandes por el rescate y en minutos tener sus datos de vuelta en los discos duros. Sin embargo, los expertos no recomiendan el pago del rescate bajo ninguna circunstancia: por un lado, es tal la presión de las autoridades y los sistemas de seguridad que muchos de los atacantes simplemente se esfuman y sus servidores son inutilizados, con lo que en muchísimas ocasiones toman el dinero del rescate y no liberan al rehén tras el pago. Por otro lado, el pago del ransomware sirve de aliciente para fomentar esta actividad delictiva. Está claro que si cada vez son menos los que sucumben, será menos rentable esta forma de criminalidad.

Reveton
En 2012 se comenzó a diseminar un ransomware llamado Reveton. Estaba basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, su funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la ley, preferentemente correspondiente al país donde reside la víctima. Por este funcionamiento se lo comenzó a nombrar como Trojan cop, o "troyano de la policía", debido a que alegaba que el computador había sido utilizado para actividades ilícitas, tales como descargar software pirata o pornografía infantil. El troyano despliega una advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deberá pagar una fianza para poder liberarla, mediante el pago de un vale a una cuenta anónima como puede ser Ukash o Paysafecard.

Con el objetivo de hacer creer a la víctima que su computador está siendo rastreado por la ley, es que se muestra la dirección IP del computador en la pantalla además de que se puede desplegar material de archivo simulando que la cámara web del computador está filmando a la víctima.

A principios del año 2012 comenzó su expansión por varios países de Europa; según el país podría variar el logo referente a las Fuerzas de la Ley referentes a cada país. Por ejemplo, en el Reino Unido, contenía el logo del Servicio de Policía Metropolitana. Debido a estos sucesos, la Policía Metropolitana envió un comunicado informando que bajo ningún concepto ellos bloquearían un computador ni siquiera como parte de una investigación.

En mayo de 2012, Trend Micro descubrió las variaciones de este malware para los Estados Unidos y Canadá, sospechando que los autores planeaban expandirlo en América del Norte. En agosto de 2012, se comenzó a utilizar el logo del FBI para reclamar una fianza de 200 dólares a pagar mediante una tarjeta de aMoneyPak a los propietarios de computadores infectados. En febrero de 2013, un ciudadano ruso fue arrestado en Dubái por autoridades españolas debido a su conexión con la red criminal que había estado usando Reveton, a este ciudadano se le sumaron otras diez personas con cargos por lavado de dinero.

En agosto de 2014, Avast reportó nuevas variantes de Reveton, donde se distribuía software malicioso con el fin de robar contraseñas.

CryptoLocker
En septiembre de 2013 hizo su reaparición el ransomware basado en el cifrado de archivos también conocido como CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de un tipo de extensión específica. El virus elimina la clave privada a través del pago de un bitcoin o un bono prepago en efectivo dentro de los tres días luego de la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil reparar la infección de un sistema.

En caso de que el pago se retrase más allá de los tres días el precio incrementa a 10 bitcoins, lo que equivalía, aproximadamente, a 2300 dólares, en noviembre de 2013.

CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS, tal cual fue anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2 de junio de 2014.

El Departamento de Justicia emitió una acusación en contra del ciberdelincuente ruso Evgeniy Bogachev (Евгений Богачев) alegando su participación en la red GameoverZeuS. Se estima que al menos tres millones de dólares se cobraron hasta que el malware fue dado de baja.

CryptoLocker.F y TorrentLocker
En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos en Australia, denominados CryptoWall y CryptoLocker. Las infecciones se propagaban a través de una cuenta falsa del correo australiano la cual enviaba un correo electrónico notificando entregas fallidas de paquetes. De este modo se evadía el chequeo del correo en los filtros de antispam y conseguía que llegasen a los destinatarios. Esta variante requería que los usuarios ingresaran en una página web y, previa comprobación mediante un código CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware en el correo o en los enlaces insertados.

Symantec determinó la aparición de nuevas variantes conocidas como CryptoLocker.F, el cual no tenía ninguna relación al original debido a sus diferencias en el funcionamiento. La Corporación Australiana de Broadcasting fue víctima de estos malware, la cual, durante media hora, interrumpió su programa de noticias ABC News 24 y tuvo que trasladarse a los estudios de Melbourne y abandonar las computadoras pertenecientes al estudio de Sídney debido a CryptoWall.

TorrentLocker es otro tipo de infección con un defecto, ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado pasó a ser trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y 11 700 en Turquía.

CryptoWall
CryptoWall es una variedad de ransomware que surgió a principios de 2014 bajo el nombre de CryptoDefense dirigida a los sistemas operativos Microsoft Windows. Se propaga a través del correo electrónico con suplantación de identidad, en el cual se utiliza software de explotación como Fiesta o Magnitud para tomar el control del sistema, cifrar archivos y así pedir el pago del rescate del computador. El rango de precios se encuentra entre los 500 y 1000 dólares.

En marzo de 2014, José Vildoza, un programador argentino, desarrolló una herramienta para recuperar los archivos de las víctimas de manera gratuita. La recuperación de archivos fue posible gracias a una falla en el programa malicioso por el cual las claves de cifrado quedaban guardadas en el equipo afectado.[5] [6]

Cuando los autores se percataron del error, actualizaron el criptovirus nombrándolo CryptoWall, pasando luego por distintas actualizaciones hasta llegar a la versión 3.0.

CryptoWall 3.0 ha sido reportado desde enero de 2015 como una infección que está surgiendo donde hackers rusos se encuentran detrás de esta extorsión.

TeslaCrypt
TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave maestra para el descifrado de los ficheros atacados es pública. Existe una herramienta gratuita de la empresa ESET que permite realizar este trabajo.

Mamba
Un grupo de investigadores de seguridad de Brasil, llamado Morphus Labs, acaba de descubrir un nuevo ransomware de cifrado de disco completo (FDE - Full Disk Encryption)  esta misma semana, llamado Mamba. Mamba, como lo llamaron, utiliza una estrategia de cifrado a nivel de disco en lugar de uno basado en archivos convencionales. Para obtener la clave de descifrado, es necesario ponerse en contacto con alguien a través de la dirección de correo electrónico proporcionada. Sin eso, el sistema  no arranca.

El ransomware Mamba se ha identificado el 7 de septiembre durante un procedimiento de respuesta a incidentes por parte de Renato Marinho, un experto en seguridad de Morphus laboratorios. Esta amenaza de malware utiliza el cifrado a nivel de disco que causa mucho más daño que los ataques basados en archivos individuales. Los desarrolladores criminales han utilizado el DiskCryptor para cifrar la información., una herramienta de código abierto

Se hizo una comparación con el virus Petya que también utiliza disco cifrado. Sin embargo, Petya cifra solamente la tabla maestra de archivos (MFT) con lo que no afectan a los datos en sí.

Tras la exitosa infiltración, Mamba crea su carpeta titulada DC22 en la unidad C del equipo donde coloca sus archivos binarios. Un servicio del sistema se crea y alberga el proceso del ransomware. Un nuevo usuario llamado MythBusters se crea asociado con la contraseña 123456.

También sobrescribe el registro de inicio maestro (MBR) del disco del sistema que contiene el gestor de arranque para el sistema operativo. Esto prohíbe efectivamente al usuario de incluso cargar el sistema operativo sin ingresar el código de descifrado.


WannaCry
WanaCrypt0r o también conocido como "WannaCry" es un ransomware "activo" que apareció el 12 de mayo de 2017 con origen en el arsenal estadounidense de malware Vault 7 revelado por Wikileaks pocas semanas antes, el codigo malicioso ataca una vulnerabilidad descrita en el boletín MS17-010 en sistemas Windows que no estén actualizados de una manera adecuada. Provocó el cifrado de datos en más de 75 mil ordenadores por todo el mundo afectando, entre otros, a:

Rusia: red semafórica, metro e incluso el Ministerio del Interior;
Reino Unido: gran parte de los centros hospitalarios;
Estados Unidos;
España: empresas tales como: Telefónica, BBVA, Gas Natural e Iberdrola.
El ransomware cifra los datos que, para poder recuperarse, pide que se pague una cantidad determinada, en un tiempo determinado. Si el pago no se hace en el tiempo determinado, el usuario no podrá tener acceso a los datos cifrados por la infección. WannaCry se ha ido expandiendo por Estados Unidos, China, Rusia, Italia, Taiwán, Reino Unido y España, al igual de que se señala que los sistemas operativos más vulnerables ante el ransomware son Windows Vista, Windows 7, Windows Server 2012, Windows 10 y Windows Server 2016.

Un ordenador infectado que se conecte a una red puede contagiar el ransomware a otros dispositivos conectados a la misma, pudiendo infectar a dispositivos móviles. A su inicio, WanaCrypt0r comienza a cifrar los archivos de la víctima de una manera muy rápida.