¿Qué es el ransomware y cómo protegerse contra él?

El ransomware es una forma de malware que encripta los medios, documentos y otros archivos en la PC de destino y el acceso a esos archivos solo se otorga una vez que se cumplen las demandas de rescate del atacante.

Actualmente, hay dos tipos de ransomware: uno que bloquea ciertos archivos en una computadora y otro que bloquea todo el sistema. Este último se encuentra principalmente en teléfonos inteligentes.

El ransomware existe desde hace más de una década. Los primeros casos de tal ataque se encontraron en Rusia en 2005 con Trojan GPcoder.

Historia temprana: la conexión rusa

El primer virus ransomware conocido que creó problemas a gran escala fue desarrollado por delincuentes organizados rusos y apareció en primer plano en 2005 y 2006.

Estos malware infectaron PC en Rusia, Bielorrusia, Ucrania y Kazajstán. Una de las cepas de malware se llamaba Archievus y otra se llamaba Troj_Cryzip.A.

Mientras que el primero cifró la carpeta 'Mis documentos', el segundo identificó y movió ciertos tipos de archivos en una PC a una carpeta Zip protegida con contraseña, que solo se desbloqueará cuando la víctima transfiera unos cientos de dólares al atacante a través de E-Gold: moneda electrónica antes de Bitcoin.

E-Gold se suspendió en 2009 bajo las instrucciones del gobierno de los EE. UU. Debido a una gran cantidad de delincuentes que lo utilizan para lavar dinero. Después de eso, Bitcoin y las tarjetas de débito prepagas se están utilizando como método para cobrar rescates.

Cerca del final de la primera década, también surgieron numerosos ataques de ransomware que se hicieron pasar por agencias de aplicación de la ley. Estos atacantes hostigarían a las víctimas con acusaciones falsas, como una infracción de derechos de autor, y extraerían "multas" por estos cargos inexistentes.

El más notorio de estos imitadores de la ley fue Reveton, un ransomware que funcionaría localmente. Dependiendo del país en el que se encuentre la víctima, Reveton se haría pasar por la policía nacional.

Los desarrolladores realizaron esfuerzos de localización para casi todos los países europeos, EE. UU., Australia, Canadá y Nueva Zelanda. El ransomware no usó el cifrado para bloquear los archivos del usuario, lo que facilitó la eliminación con un antivirus o mediante el modo seguro.

En 2012, otro ransomware apuntó a Windows Master Boot Record (MBR) y lo reemplazó con un código malicioso. Cuando se iniciaba un sistema infectado, el usuario recibiría instrucciones para pagar una cantidad considerable a través de QIWI, un sistema de pago de propiedad rusa, para acceder a su dispositivo.

Crypto-Ransomware moderno

Uno de los métodos modernos de ransomware se encontró por primera vez en 2012-13. CryptoLocker fue el primer programa de malware ampliamente exitoso que obtuvo más de $ 27 millones en dinero de rescate.

CryptoLocker se cifra utilizando una clave AES de 256 bits y una clave RSA de 2048 bits, lo que hace que el cifrado sea casi irrompible incluso si se elimina el malware, lo que lo convierte en una de las formas más efectivas para los atacantes.

A las víctimas de estos ataques se les pidió que pagaran $ 400 o más para recibir la clave de descifrado y fueron amenazadas con la eliminación de la clave si no pagaban dentro de las 72 horas.

En 2014, CryptoLocker fue eliminado por un consorcio de agencias gubernamentales, empresas de seguridad e instituciones académicas en la Operación Tovar. Más tarde, también lanzaron un servicio para personas afectadas por CryptoLocker que les ayudó a descifrar sus dispositivos de forma gratuita.

Aunque la amenaza de CryptoLocker no duró mucho, sin duda ayudó a los atacantes a explorar el mundo del ransomware y determinar cuán lucrativo puede ser, lo que resultó en una serie de cepas de ransomware que se lanzarán en el mercado a partir de entonces.

CryptoLocker fue seguido por TorrentLocker, un programa de ransomware que apareció como un archivo adjunto de correo electrónico, generalmente un archivo de Word con macros maliciosas, que bloqueaba ciertos tipos de archivos en la computadora con un cifrado AES.

El TorrentLocker sigue activo y ha evolucionado mucho en los últimos años. Las versiones más nuevas cambian el nombre de todos los archivos infectados en una computadora, lo que hace que sea imposible para el usuario identificar qué archivos se han cifrado y restaurar los archivos a través de una copia de seguridad.

El ransomware no solo infecta PC con Windows, sino también Linux y Mac OS. En 2015, se descubrió una cepa de ransomware que infectaba las PC que se ejecutaban en Linux y en 2016, se descubrió una cepa destinada a atacar computadoras Mac.

En la última década, los ataques de crypto-ransomware han aumentado dramáticamente a medida que el antivirus falso y otras aplicaciones engañosas han disminuido en número. Solo en 2016, se reportaron 638 millones de casos de ransomware.

¿Cómo combatirlo?

Hay un buen número de sitios web y empresas de seguridad que intentan informar a las personas sobre las amenazas de malware y también les proporcionan herramientas para prevenirlo y descifrar la información que ha sido bloqueada por un atacante.

Un servicio antivirus popular como Avast ha creado sus herramientas de descifrado para Windows y Android para ayudar a las personas a enfrentar la creciente amenaza del ransomware. Estas herramientas son de uso gratuito y cubren una amplia variedad de ransomware, aunque algunas de las nuevas pueden no estar cubiertas, pero aún así pueden darle un comienzo.

No More Ransom es un sitio web que ofrece noticias sobre los últimos desarrollos en la ecosfera de ransomware y también dirige a los usuarios hacia las herramientas que pueden usarse para combatir estas amenazas. El sitio web es un esfuerzo conjunto de la Policía de los Países Bajos, Europol, Kaspersky Lab e Intel Security.

Si ha encontrado una herramienta que puede guiarlo para descifrar el ransomware que afecta su PC actualmente, entonces todo lo que necesita hacer es identificarlo. ID Ransomware es un sitio web que lo ayuda a hacer exactamente eso, todo lo que necesita hacer es cargar una copia de la nota de rescate.

Si está buscando una herramienta que ofrezca protección a su PC con Windows en tiempo real, entonces CyberReason Ransomfree es la respuesta a sus necesidades.

El ransomware ha sido una amenaza en la era de los dispositivos conectados a Internet y, a medida que IoT se vuelve común, puede ser un problema aún mayor.

Actualmente, el ransomware solo afecta su dispositivo o archivos y revoca el acceso del usuario hasta que se paga el rescate, pero con la popularidad emergente de los dispositivos Smart Home, perder el acceso a su dispositivo sería solo el comienzo de sus preocupaciones.