RANSOMWARE IV: Métodos de infección, protección y recuperación

En este último artículo sobre ransomware, después de una descripción general del ransomware y un análisis de sus variantes (ransomware de cifrado y lock screen ransomware), se describirán las formas más comunes de infección, los métodos para prevenir este tipo de malware y como recuperarse de este ataque.

Métodos de infección

El principal método de propagación es a través de troyanos en sitios web malintencionados o legítimos que han sido comprometidos por los cibercriminales. Las vías de infección más habituales son las páginas web con contenido pornográfico o de juegos, de modo que, cuando los usuarios seleccionan alguno de los anuncios, se les redirige a otra página comprometida que les infecta con ransomware u otro malware.

Un segundo método de contagio se realiza mediante enlaces a sitios comprometidos en correos masivos, mensajería instantánea, redes sociales, o bien descargándolo con algún programa de compartición de ficheros (P2P).

Otra técnica a destacar se lleva a cabo a través de ataques usando el Protocolo de Escritorio Remoto (RDP), ya sea aprovechando alguna vulnerabilidad en el sistema o con ataques de fuerza bruta. Si el ataque tiene éxito, los criminales pueden cifrar los datos del servidor y después pedir un rescate por la contraseña.

Como último caso a destacar, comentar que este tipo de ataque también está afectando a dispositivos móviles, sobre todo dispositivos basados en el sistema operativo Android. Estos dispositivos son infectados cuando los usuarios instalan una aplicación que resulta no ser lo que anunciaba ser. Un ejemplo de este tipo de ransomware es el Android.Fakedefender, un troyano que muestra falsas alertas de seguridad en un intento de convencer al usuario de pagar por la versión completa de la aplicación con el fin de eliminar el malware inexistente.

Captura de Android.Fakedefender (Symantec)

Cómo protegerse

Los principales consejos para protegerse de este tipo de amenazas son:

• Actualizar todo el software del ordenador, sobre todo el Sistema Operativo, navegadores web, Adobe Flash, Acrobat Reader y Máquina Virtual de Java (deshabilitando los plugins añadidos en el navegador si no van a ser necesarios).
• Tener instalado un producto antivirus actualizado.
• Mantener activado el firewall del equipo.
• No abrir correos sospechosos.
• Nunca seguir los enlaces que aparecen en correos de supuestos «amigos».
• Hacer copias de seguridad periódicas. Este punto es de especial importancia para la recuperación de datos antes de un posible ataque.
• Configurar la conexión al Escritorio remoto (RDP) para que sea accesible sólo desde Redes Privadas Virtuales (Virtual Private Network o VPNs) y usando dos factores de autenticación.

Recuperación

La recuperación de un ataque de ransomware puede ser una tarea complicada, además es posible que se necesite la ayuda de personal especializado. Si tu sistema está comprometido, se recomienda no pagar la «multa» o «rescate», ya que esto no garantiza que los criminales respondan una vez se realice el pago.

Para encontrar ayuda sobre cómo actuar frente al «virus de la policía» puede consultar la página de la OSI (Oficina de Seguridad del Internauta), mientras que, para ataques ransomware a través de RDP, puede encontrar más información en INTECO-CERT.

Ayuda para eliminar el Virus de la Policía

Si necesita más información pude consultar los siguientes enlaces:

• Asistente de Seguridad.
• Atención telefónica en el 900 116 117.
• Por último, una vez confirmado que el malware ha sido eliminado del ordenador, se recomienda cambiar todas las contraseñas que se puedan haber usado en el ordenador afectado.

Conclusiones

Las principales conclusiones, de esta serie de entradas, a modo de resumen son:

• El ransomware es un tipo de malware que inhabilita el ordenador de un usuario o que cifra los archivos de datos, con el objetivo de pedir el pago de una cantidad determinada de dinero para devolver el acceso al usuario. Por lo tanto, se trata de una extorsión.
• Los patrones de infección más habituales de este tipo de malware son enlaces hacia sitios comprometidos, por la instalación de software fraudulento o por correos con enlaces o adjuntos malintencionados.
• Se recomienda también navegar por Internet con precaución, evitando sitios de dudosa procedencia, y mantenerse lo más actualizado posible.
• En caso de infección, no pague a los delincuentes. Reporte el problema a las autoridades competentes y busque ayuda técnica especializada para solucionar el incidente.
• Aunque el conocimiento de este tipo de estafas se esta incrementando, los atacantes y el malware que utilizan también evoluciona, mejorando las técnicas para evadir la detección y evitar su eliminación. Además, la «carta de rescate» es probable que siga evolucionando tanto en perfección como en la focalización sobre nuevos sectores para la población, así como en nuevos objetivos, como son los dispositivos móviles.