Extortionware, Ramsonware y demás hierbas.

Si hace un par de años era el ransomware el software malicioso que buscaba adueñarse del control de ordenadores y dispositivos móviles, en los últimos tiempos ha surgido una nueva y tenebrosa amenaza: el extortionware (extortion, de extorsion, claro).

Si el usuario cae en el señuelo del extortionware, la víctima no solo puede ver bloqueados los archivos de su ordenador bajo un cifrado muy fuerte que desconoce y por el que tendrá que pagar al delincuente si quiere desbloquearlos. En el caso del visionado de contenido sexual, el incauto puede verse amenazado con la delación de sus actividades íntimas a sus contactos en las redes sociales y de los vídeos que trataba de ver.

Este nuevo malware ha mudado desde las páginas de contenido sexual a las redes publicitarias generalistas. De este modo, ya no es necesario estar visionando contenido pornográfico para que salte una petición de actualizar el Flash Player (programa ejecutor de vídeos) que oculta en realidad la activación de un virus.

Cómo ataca: Las redes de delincuentes han desarrollado una estrategia basada en comprar espacio para anuncios inocuos que pasan el filtro de las plataformas. Los ciberdelincuentes han conseguido infiltrarse en las redes publicitarias con anuncios normales y corrientes sin ningún tipo de polémica y que se distribuyen por la mayoría de las páginas generalistas. ¿Cómo logran pasar el filtro de las redes publicitarias y las empresas que se dedican a gestionar y distribuir la publicidad on-line? Por lo general, estas plataformas ponen grandes controles que filtran posible malware escondido en los anuncios y es difícil colar programas maliciosos. Sin embargo, estos mafiosos han desarrollado una estrategia basada en comprar espacio para anuncios inocuos que pasan el filtro de las plataformas. Una vez dentro del circuito de distribución de publicidad, solicitan hacer una pequeña actualización del software de soporte del anuncio, algo común, y es entonces cuando introducen el malware y el requerimiento de actualización del programa Flash Player. Si se acepta actualizar, en realidad no se irá a la página de Adobe (empresa propietaria del software), sino que se activará un virus que se encargará de secuestrar todos los archivos del ordenador y cifrarlos. 

Cuando se ejecuta, se instala en la carpeta de programas y empieza a cifrar (encriptar) documentos de Office y LibreOffice, archivos PDF, fotos e ilustraciones, que se vuelven inaccesibles. Los archivos se cifran con una clave que solo poseen los autores del virus, lo que imposibilita la recuperación.

 

Un ejemplo de este tipo de virus, que además pide dinero por liberar los archivos, es Cryptowall o Cryptolocker. Descubierto hace un año en diversas páginas pornográficas, ha sorprendido a los expertos al ser hallado de nuevo camuflado en anuncios publicitarios en formato flash, el más usado. 

 

Cómo actuar: Existen una serie de estrategias que permiten evitar el contagio.

La primera es que cuando se pida realizar la actualización de Flash Player, que es algo que sucede con cierta periodicidad, no hay que darle al botón de manera automática, sino que hay que asegurarse de la procedencia de la ventana emergente donde se solicita la actualización. Si se comprueba que la dirección URL que lleva no coincide con la de la página de Adobe, hay que evitar la aparente actualización. Lo mejor es forzar la salida de la página donde se esté e incluso del navegador.

En caso de que no se consiga detectar a tiempo el fraude, se debe pasar a la segunda estrategia para cortar la acción del software malicioso. Para ello, no está de más contar con un buen cortafuegos y tener activado el antivirus. Por otro lado, una buena medida es tener alguno de los muchos servicios de almacenamiento de archivos en la nube, de modo que los datos sensibles siempre hayan tenido una copia de seguridad que quede aislada del ataque del extortionware.

En ocasiones, alguno de estos virus es también capaz de atacar los archivos almacenados en el servidor de la plataforma, si no se desactiva a tiempo la versión de escritorio. Por lo tanto, no está de más disponer de un disco duro externo y desconectado del sistema físicamente donde realizar con periodicidad copias de seguridad. 

Otra acción urgente es, si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos ni tampoco comunicar con los criminales. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.

Igualmente, puedes ejecutar la herramienta ListCrilock, que crea un archivo TXT con todos los archivos cifrados por el virus. Otro programa que hace lo mismo es CryptoLocker Scan Tool, que busca archivos tocados por el virus y te dice si necesitan ser recuperados.

La opción manual consiste en abrir el Editor del Registro de Windows (Inicio > Ejecutar > Regedit) e ir hasta la clave HKEY_CURRENT_USER\Software. Allí verás una carpeta con número y una subcarpeta que contiene los nombres de los archivos: es la de Cryptolocker. Algunos de esos archivos puede que no estén cifrados todavía, y en consecuencia se podrán recuperar. Para los demás, solo puedes buscar en tus copias de seguridad.

Cómo eliminar el virus Cryptolocker del PC

Eliminar Cryptolocker es bastante sencillo, en parte porque los autores del virus cuentan con que la víctima está tan aterrorizada que no quiere eliminar la única forma que tiene de recuperar sus archivos. Por suerte, hay varias formas de recuperar tus archivos, pero antes debes quitar el virus del sistema.

Para eliminar Cryptolocker tenemos la herramienta Norton Power Eraser, un potente anti-troyano que Symantec distribuye gratis en su página. Copiamos Norton Power Eraser al equipo a través de un pendrive, lo ejecutámos y, al finalizar el escaneo, confirmamos el borrado de los objetos sospechosos.

Un reinicio y todo rastro de Cryptolocker habrá desaparecido (nos puede quedar el fondo de pantalla del virus, que de por sí es totalmente inocuo y se puede cambiar sin problemas). 

Otras herramientas que funcionan son Malwarebytes, RogueKiller y ComboFix. Los antivirus tradicionales tienen problemas para identificar Cryptolocker como una infección, sobre todo por la velocidad con la que aparecen nuevas variantes, pero ya se están poniendo al día.

Cómo recuperar los archivos infectados por Cryptolocker

Cryptolocker solo ataca documentos que se encuentran en el PC y en las unidades de red. No ataca archivos que se encuentran en unidades desconectadas o en servidores que están en Internet. Tampoco ataca documentos que se encuentran comprimidos. Su objetivo son los archivos que se encuentran en PC empresariales.

Extensiones que ataca Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.

Una vez que has desinfectado el PC, lo mejor que puedes hacer es recurrir a uno de los "secretos" más interesantes de Windows, las copias sombra (Shadow Copy), versiones previas que Windows almacena cada vez que un archivo se modifica. Para acceder a esta característica basta con hacer clic derecho sobre un archivo y abrir las propiedad 

  

En la pestaña Versiones previas verás las diferentes versiones que Windows ha almacenado. Elige la copia de seguridad más reciente que sea anterior a la infección y haz clic para restaurarla. Una forma más rápida y cómoda de acceder a todas las copias Shadow que hay en el disco duro es a través de la herramienta gratuita ShadowExplorer

 

Shadow Explorer es muy fácil de usar. Basta con elegir la unidad, la fecha de las copias -que está en el menú desplegable que hay al lado de las unidades- y luego navegar por las carpetas y archivos disponibles. Las copias se extraen con un clic derecho sobre el archivo y otro clic sobre “Exportar”.

Otra opción para recuperar los archivos es usar una copia de seguridad previa que tuvieses almacenada en un disco duro desconectado, un servidor remoto o en discos DVD. Los archivos almacenados en Dropbox, SkyDrive o Drive también son buenos candidatos para la recuperación.

Los más preocupados pueden usar para protegerse, la herramienta CryptoPrevent para deshabilitar el tipo de permisos que el virus aprovecha para instalarse. La herramienta modifica las políticas de seguridad de Windows para evitar que un programa pueda ejecutarse desde la carpeta de Datos de programa (AppData

En ningún caso se debe ceder a la presión de los delincuentes y pagar por el rescate de los archivos, ya que, además de fomentar y financiar este tipo de prácticas, el usuario se expone a no ver resuelta su extorsión y a someterse a un chantaje mantenido en el tiempo. 

Todo intento de pago erróneo disminuye el tiempo disponible para salvar los archivos. Para “ayudar” a los afectados, los autores del virus incluso han puesto una dirección de “soporte técnico” en el fondo de pantalla que Cryptolocker activa en el PC infectado. Esa dirección contiene la versión web de la herramienta de descifrado. 

 

En todos los casos, se recomienda denunciar los hechos al Grupo de Delitos Telemáticos de la Guardia Civil y a la Brigada de Investigación tecnológica de la Policía Nacional.