DEFINICIÓN DEL VIRUS
malware/ransomware
¿Qué es TorrentLocker?
TorrentLocker (Trojan-Ransom.Win32.Rack en la clasificación de Kaspersky Lab) es un tipo de ransomware criptográfico, que está adquiriendo cada vez más popularidad en la actualidad.
Las primeras modificaciones de esta clase se observaron en febrero de 2014, y a partir de diciembre de 2014, se han detectado al menos cinco versiones principales de este malware.
Trojan-Ransom.Win32.Rack utiliza un cifrado de bloque simétrico AES para cifrar los archivos de la víctima y un cifrado asimétrico RSA para cifrar la clave AES. Las versiones de la 1 a la 3 contienen un defecto que hace posible descifrar los archivos de la víctima, y esto se ha implementado en nuestra utilidad RannohDecryptor.
Lamentablemente, a partir de la versión 4, los autores de malware han identificado y solucionado este defecto, lo que ha hecho que este método de descifrado resulte imposible. Las versiones actuales de este malware exigen pagos de rescate a través del sistema de Bitcoin y alojan sus páginas web de pago en la red Tor.
Contramedidas
Todas las versiones de TorrentLocker se han detectado correctamente mediante una amplia variedad de tecnologías de Kaspersky Lab: conductual (veredictos PDM:Trojan.Win32.Generic, HEUR:Trojan.Win32.Generic), basada en firmas (veredictos Trojan-Ransom.Win32.Rack.*) y basada en la nube a través de KSN (veredicto UDS:DangerousObject.Multi.Generic).
Nuestro componente proactivo proporciona la detección más eficaz (basada en el comportamiento). Este no confía en el contenido de un archivo ejecutable, sino que emite un juicio en función de la acción que realiza, lo que nos permite detectar cualquier intento de cifrado, independientemente de si la muestra maliciosa es nueva o ya conocida. Además, nuestros productos incorporan un nuevo subsistema de contramedidas de criptomalware que puede revertir automáticamente cambios maliciosos en los archivos de los usuarios. Hay más información sobre este sistema disponible en nuestra documentación técnica.
Prevention
Copias de seguridad
La mejor manera de garantizar la seguridad de los datos críticos es tener una programación de copias de seguridad coherente. Las copias de seguridad deben realizarse con regularidad y, además, las copias deben crearse en un dispositivo de almacenamiento al que solo se pueda acceder durante este proceso (por ejemplo, un dispositivo de almacenamiento extraíble que se desconecte inmediatamente después de realizar la copia de seguridad). Si no se siguen estas recomendaciones, el ransomware atacará y eliminará o cifrará los archivos de la copia de seguridad de la misma manera que los archivos originales.
Solución antimalware
Incluso con una programación de copias de seguridad habituales, los archivos más recientes podrían quedar desprotegidos y podrían perderse debido a un ataque de ransomware. Una solución antimalware con bases actualizadas y componentes activados no solo es fundamental para garantizar la seguridad de los datos, sino que también protege el sistema contra otros tipos de ciberamenazas.
Concienciación sobre la seguridad en Internet
El malware moderno a menudo se propaga por medio de la ingeniería social, por lo que es fundamental ser conscientes de los trucos más utilizados, tales como notificaciones de correo electrónico falsas procedentes de diversos servicios y organizaciones conocidos. Estos mensajes de correo electrónico falsos suelen contener malware y a menudo cuesta distinguirlos de las comunicaciones legítimas. Por eso, los usuarios deben prestar atención a cada detalle, permanecer constantemente en alerta y solo abrir archivos adjuntos de fuentes de confianza para protegerse contra el riesgo de infección.
