Amenazas en Linea: Ransomware
Ransomware es un malware el cual se instala silenciosamente en la computadora o dispositivo móvil del usuario. Funciona bloqueando el acceso del usuario a sus archivos o pantalla, encriptando todos los datos del usuario en el dispositivo, también todos los dispositivos de almacenamiento conectados (USB flash, discos duros externos, o discos de estado sólido), para finalmente solicitar un rescate para eliminar esta restricción. Algunos tipos de ransomware amenazan a las victimas con publicar sus datos de manera pública, si se niegan a pagar el rescate. El rescate usualmente es pagado a través de métodos de pago anónimo como Bitcoin; el cual es un tipo de moneda digital; y de esta manera obtener la llave de desencriptación.
Las infecciones con ransomware provienen a través de una variedad de métodos. Por ejemplo un ransomware podría estar adjunto a mensajes de correos electrónicos de spam, ser instalado después de visitar sitios web maliciosos, o ser instalado como parte de un programa legítimo, el cual ha sido modificado por un atacante malicioso. También puede ser desplegado por otro malware, como un caballo de troya o conjuntos de exploits.
Existen dos tipos principales de ransomware:
El primer tipo: También conocido como ransomware bloqueador, el cual bloquea la pantalla del sistema en una manera en la cual es fácil para un usuario experimentado desbloquear esta restricción
El segundo tipo: También conocido como ransomware criptográfico, encripta todo el disco duro o algunos tipos de archivos, incluyendo todos los dispositivos de almacenamiento conectados, y solicita un rescate para eliminar esta restricción.
Una variante especial de ransomware ataca la MBR del sistema vulnerable, evitando el sistema operativo inicie a menos la victima pague el rescate.
Algunas recomendaciones a considerar sobre los ataques de ransomware:
- Realizar copias de respaldo regularmente de todos los archivos
- Instalar regularmente todos los parches de seguridad para el sistema operativo y las aplicaciones instaladas, y siempre mantenerse actualizado
- Instalar soluciones antivirus y antimalware y mantenerlos actualizados
- No ejecutar archivos descargados por cualquier medio sin antes revisarlos
Si un ataque con ransomware es exitoso, considerar lo siguiente:
- Desconectar las computadoras de la red e internet
- Realizar escaneos completos de todos los dispositivos conectados y medios de almacenamiento
- Buscar asesoría especializada para encontrar el tipo de ransomware, y la posible existencia de herramientas específicas para su eliminación
- Formatear los dispositivos conectados de ser necesario, para luego realizar nuevamente la instalación del Sistema Operativo
- Restaurar todos los datos desde copias de respaldo limpias y seguras
- Informar a las autoridades u organizaciones pertinentes relacionadas con este tipo de casos y NO pagar el rescate
El sitio web “No More Ransom” es una iniciativa el cual tiene como propósito ayudar a las victimas de ransomware a recuperar sus datos encriptados sin pagar a los criminales.
Fuentes:
https://www.nomoreransom.org/
https://www.malwarebytes.com/ransomware/
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero