Última actualización: Junto con la policía holandesa hemos desarrollado una web para que puedas recuperar los archivos víctima del ransomware CoinVault.
Recientemente, se ha descubierto una variante del ransomware que ataca a sus víctimas, encriptando los documentos almacenados en el equipo y pidiendo un rescate por ellos. ¿Su nombre? CryptoLocker.
Si seguís fielmente nuestro blog, sabréis que el ransomware es un tipo de malware que, una vez infecta el ordenador, bloquea la máquina y chantajea a la víctima para que ésta recupere el control del equipo. Por supuesto, pagar el rescate no nos garantiza que el cibercriminal nos devuelva el acceso. De hecho, es muy probable que nunca lo haga y que solo haya sido un truco para estafar al usuario.
Existen multitud de programas maliciosos sobre los que escribir. En Kaspersky Lab, nos gusta explicaros qué son, cómo funcionan y los métodos de protección frente a ellos. En esta ocasión, es el turno de CryptoLocker; una amenaza que puede convertirse en un gran fastidio si nuestros datos confidenciales o importantes caen en sus manos.
No nos sorprende que algunos de los usuarios cuyos equipos están infectados, afirmen no haber recibido la llave de desbloqueo tras el pago. No obstante, algunos informes indican que el grupo que se esconde tras este ataque comenzó la semana pasada a enviar dichas claves a sus víctimas.
Existen, actualmente, diferentes grupos que están utilizando el CryptoLocker en sus campañas maliciosas. Este malware cifra todos los tipos de documentos (fotos, vídeos, audio…) y, además, proporciona a los usuarios infectados una lista con todos los archivos encriptados. Para realizar esta “travesura”, utiliza el sistema de cifrado RSA-2048 con una llave privada. A su vez, se muestra un reloj con una cuenta atrás de tres días y una advertencia que insta a la víctima a pagar el rescate en ese plazo o se eliminará la clave para siempre; sin opción alguna a recuperar los archivos encriptados.
El rescate reclamado por los delincuentes asciende a 300 dólares, aproximadamente, y ofrece diferentes métodos de pago, incluidos Bitcoins.
Este malware es tan potente que el departamento US-CERT de EE.UU., encargado de analizar y reducir los riesgos de las amenazas online, ha advertido públicamente sobre este nuevo peligro. En dicha nota se informaba sobre el aumento de este tipo de infecciones y aconsejaba a los usuarios que no pagasen el rescate.
¿Cómo se difunde CryptoLocker? Principalmente a través de emails de phishing. Sin embargo, algunas víctimas han afirmado que CryptoLocker apareció en sus equipos tras una infección de botnet. Según Costin Raiu, de Kaspersky Lab, esta variante del ransomware ataca, en primer lugar, a usuarios de EE.UU. y Reino Unido. El segundo objetivo son los ciudadanos de India, Canadá, Australia y Francia.
Algunas versiones de CryptoLocker son capaces de afectar no sólo a los archivos locales, sino también a los archivos almacenados en dispositivos extraíbles como USB, discos duros y archivos en red (incluso algunos servicios de almacenamiento en la nube que sincronizan la carpeta local con el espacio online). El aviso del US-CERT también advertía de que este malware podía saltar de equipo en equipo dentro de una misma red y aconsejaba a los usuarios afectados que quitasen inmediatamente a los ordenadores infectados de la red.
El periodista, especializado en seguridad informática, Brian Kerbs informó que la banda había ampliado el tiempo de pago porque no estaban obteniendo los beneficios previstos. Aunque continúa la táctica de la cuenta atrás, la llave de desbloqueo no se elimina de la ventana una vez expira el plazo. En su lugar, el atacante multiplica el precio original hasta diez veces.
Lawrence Abrams, experto en malware de BleepingComputer.com, afirma que existe un número de negocios e individuos que no tienen otra opción más que pagar el rescate. No estoy totalmente de acuerdo. Si claudicamos ante ellos, les estamos animando a que continúen con sus fechorías. Para evitar las consecuencias de este programa, os recomiendo realizar un backup regularmente y no dejar enchufado el dispositivo externo a la máquina. Si, de todos modos, nuestro equipo se infecta; entonces, podremos recuperar los datos de la copia de seguridad. Algunos antivirus pueden ayudarnos con este problema; pero, según el informe de Krebs, ciertos productos eliminan el programa una vez ya se han cifrado los archivos e impiden al usuario recuperarlos aunque pague a los secuestradores. Los autores de CryptoLocker utilizan wallpapers según el contexto. Si la víctima está dispuesta a pagar pero el antivirus ha eliminado el malware (esto no significa que se hayan desbloqueado los archivos), entonces es posible descargase un ejecutable del malware pinchando en el enlace del wallpaper.
No obstante, los usuarios de Kaspersky Internet Security están protegidos frente a esta nueva amenaza, impidiendo que bloquee el equipo de las posibles víctimas.