El desarrollo de malware y nuestros intentos de combatirlo a veces nos recuerda a una de estas complejas series de televisión donde uno puede seguir la evolución de los “personajes” y ver cómo adquieren nuevas habilidades, superan dificultades y consiguen nuevos logros. Parece que ahora ha llegado la tercera temporada de la serie TeslaCrypt.
TeslaCrypt surgió por primera vez en febrero de 2015, cuando este troyano comprometió los ordenadores de algunos grupos de jugadores cifrando sus archivos. Después se pidió un rescate de alrededor de 500 dólares para que los usuarios recuperaran sus datos.
Este nuevo troyano fue creado con las bases de otro peligroso ransomware llamado CryptoLocker. En su creación, los delincuentes utilizaron un algoritmo de cifrado algo débil que podía ser hackeado. El troyano almacenaba claves de descifrado en una carpeta separada del disco duro de la víctima, por lo que se podría encontrar sin esfuerzo. Al final, los usuarios del foro BleepingComputer crearon el software TeslaDecoder para ayudar a las víctimas a descifrar sus archivos sin pagar ningún rescate.
Sería maravilloso si, una vez acaba esta primera temporada, habiendo fracasado, la serie llegara a su fin. Pero los cibercriminales liberaron y expandieron TeslaCrypt 2.0, una versión actualizada y mejorada, que fue detectada por Kaspersky Lab en julio de 2015. Esta versión utiliza un esquema de cifrado mejorado significativamente, que sigue siendo imposible de hackear. Por otra parte, este malware actualizado no almacena las claves en una carpeta separada, sino que, en su lugar, utiliza el registro del sistema.
¡Ojo! #Ransomware TeslaCrypt 2.0: más fuerte y peligroso https://t.co/oOoebdeSSn pic.twitter.com/eiwEW2V0af
— Kaspersky España (@KasperskyES) July 20, 2015
Las víctimas que han encontrado de alguna manera las claves, pueden utilizar el TeslaDecoder para recuperar sus archivos. Pero sin la clave, este útil software queda totalmente huérfano.
Hace poco, ha empezado una nueva “temporada” de esta epidemia: TeslaCrypt 2.2. ha entrado en escena. Ahora mismo está en marcha una campaña de correo malicioso: los usuarios de todo el mundo reciben falsas notificaciones de cobro. Los que caen en la trampa instalan el exploit kit Angler, que descarga la nueva versión de TeslaCrypt. Muchos usuarios corporativos caen en este tipo de e-mails falsos, ya que es bastante común que un empleado se olvide de una factura entre miles.
Cómo abrir archivos adjuntos desconocidos: http://t.co/6pAE5YXZSV
— Kaspersky España (@KasperskyES) August 18, 2014
Además, los cibercriminales lanzaron una campaña a gran escala para infectar páginas de WordPress, incluyendo el blog del periódico The Independent, de Reino Unido. Se volvió a culpar de nuevo a Angler por este incidente. El exploit descargaba TeslaCrypt u otro troyano llamado BEDEP, que a su vez descargaba el infame CryptoLocker.
Según Trend Micro, el blog se infectó el 21 de noviembre. Los empleados resolvieron el problema y, hace poco (el 9 de diciembre) redirigieron a los usuarios a la página principal del periódico.
Los representantes de The Independent declararon que solo unas pocas personas habían visitado la página infectada ya que era bastante antigua y no hubo señales de ningún infectado por el troyano en su ella. Sin embargo, la cifra total de usuarios que fueron redirigidos a la página infectada con el troyano fue mayor de 4.000 al día. Si estos no contaban con las nuevas actualizaciones de Adobe Flash, es muy probable que Angler utilizara sus vulnerabilidades e infectara sus sistemas.
News with a side of #ransomware —“The Independent” blog hacked, leads to TeslaCrypt: https://t.co/4kFz0JPv9Y
— Trend Micro (@TrendMicro) December 9, 2015
Esta vez los cibercriminales han cambiado su objetivo, dirigiéndose hacia las empresas, no a los usuarios domésticos. Según Heimdal Security, este nuevo ransomware aterroriza a las empresas europeas, y también se observa mucha actividad en Japón. Es imposible saber qué país será la próxima víctima.
Para poder protegerte contra el ransomware o al menos disminuir el daño potencial, te recomendamos seguir estos consejos:
10 consejos para proteger tus archivos contra el #ransomware https://t.co/TrTyuoxGhe pic.twitter.com/W0SYlmJuJV
— Kaspersky España (@KasperskyES) December 10, 2015
1. Utiliza soluciones de seguridad actualizadas. Por ejemplo, Kaspersky Internet Security y Kaspersky Total Security han incorporado la herramienta System Watcher, que no permite al ransomware cifrar los datos, por tanto, hace que los usuarios sean invulnerables a TeslaCrypt.
2. Instala siempre las actualizaciones de software. En el software de oficina, los navegadores y en Adobe Flash podemos encontrar una gran variedad de bugs y vulnerabilidades. Para solucionar estas brechas de seguridad, se lanzan continuamente actualizaciones y parches. Las últimas actualizaciones aumentan en gran medida la seguridad de tus dispositivos.
3. Haz copias de seguridad periódicamente. Por ejemplo, Kaspersky Total Security puede minimizar tus esfuerzos en este sentido. Aunque todas las medidas de seguridad fallen y tu sistema resulte infectado, con la ayuda del antivirus podrás limpiar el sistema y restaurar tus archivos desde las copias de seguridad.
Kaspersky Total Security Review: Full-featured #parentalcontrol, #firewall, and backup http://t.co/B1RxogW5Lx via @PCMag
— Kaspersky (@kaspersky) February 6, 2015
Si eres víctima de un ransomware y buscas una solución a tu problema, lamentamos comunicarte que no existen soluciones universales. Si tienes una clave, puedes usar las herramientas que hemos mencionado antes como: TeslaDecoder o alguna de las herramientas similares de Cisco.
Sin una clave, es casi imposible poder solucionarlo. Sin embargo, te recomendamos que no pagues el rescate, si es posible. Si la gente no paga, el negocio del ransomware no dará beneficios y los cibercriminales estarán menos motivados para lanzar una nueva temporada de la serie de ransomware.