jueves, enero 29, 2015

"¡Me han cifrado los archivos y me piden dinero para descifrarlos!". 5 Consejos para evitar un "Cryptolocker"

Ni sé cuántos correos llevo ya este año recibidos con un mensaje similar al del título. Gente desesperada porque han sido víctimas de un Ransomware que se ha ejecutado en su sistema operativo y le ha cifrado las fotos de su familia, los documentos de la contabilidad de la empresa familiar, los archivos con las contraseñas para acceder a servicios de Internet que ya no saben cómo recuperar o los trabajos de investigación de una vida. La cantidad de información que tenemos útil y valiosa para nosotros mismos en nuestros equipos es muy alta y mucho más valiosa de lo que te puedas imaginar en un momento dado. Es como cuando pierdes a alguien, no vas a saber cuánto querías a esa persona hasta que la echas de menos porque notas que ya no está, que se fue para siempre.

Figura 1: "Lo que el viento {cibercrimen} se llevó de mi vida"

Eso es lo que intenta hacer un Ransomware, es decir, quitarte algo que tú necesites y pedirte dinero a cambio de devolvértelo. Es un secuestro exprés en el que el mafioso se va a aprovechar de que tienes descuidado algo valioso para ti y te va a hacer pagar por ello. Estos Ransomware, en el pasado han podido ser analizados por los ingenieros de seguridad para encontrar de localizar el algoritmo y las claves de cifrado utilizados en cada instalación y generar un descifrador universal. Así ha sido a lo largo de muchos años, pero... solo era cuestión de que alguien lo hiciera bien para que pudiera liarse parda.

Figura 2: Mensaje dejado por uno de los ransomware distribuidos

En este caso, el despliegue de la última familia de CryptoLocker está haciendo estragos a nivel mundial. Muchos son los usuarios que están siendo infectados y, tras ver, el hilo de los acontecimientos a día de hoy no ha sido posible localizar una solución para descifrarlos más que pagar - algo que alienta a este tipo de negocios de fraude online en el futuro -. La transición económica del pago es a través de BitCoins y por la DeepWeb, para que ser menos traceable.

Figura 3: Para conseguir la clave de cifrado se introduce el ID del cifrado y se reciben las instrucciones


Llegado hasta este punto, haz un ejercicio de reflexión interna e intenta pensar qué harías ahora mismo si te robaran el equipo informático que tienes delante, del portátil o el disco duro & pendrives que llevas tirados en la mochila. Si después de pensar durante 5 minutos en qué tienes ahí, e intentar sentir cómo sería tu día siguiente sin ellos llegas a la conclusión de que es importante, toma medidas.

Medidas para protegerse contra un ataque de ransomware

Si has llegado hasta este punto, y quieres evitar en la medida de lo posible que esto te pueda pasar a ti - o que te vuelva a pasar -, te dejo una serie de recomendaciones para evitar que seas extorsionado con este tipo de prácticas mafiosas:
1.- Mantén todo el software de tu sistema actualizado: Normalmente estos fallos se aprovechan de exploits que suelen estar parcheados - no siempre, ya que a veces cuentan con algún 0day de Flash, Java o similares que explotan durante unos días todo lo que pueden -, a través de kits de explotación que ponen en servidores web hackeados o que distribuyen a través de campañas de malvertising.  
Figura 4: Una imagen de un antiguo panel de control de BlackHole con los explotis y las víctimas 
Cuantos menos bugs sin parchear tengas mejor. Actualiza tu Windows, pero también Java, Adobe Flash, VLC, todos tus navegadores de Internet, etcétera. Mantén todo tu software al día o entrégalo al enemigo
2.- Pon un Antimalware profesional con protección en tiempo real: Es una pena que mucha gente ponga en riesgo su vida digital por no tener un antimalware profesional de primer nivel como Intel Security, Kaspersky, ESET, Bitdefender, Symantec o similares con protección en tiempo real. En Tiempo Real, examinando conexiones de Internet, pendrives o cualquier conexión al sistema. No son ni mucho perfectos, pero te garantizo que si lo tienes los malos tendrán que mutar mucho el bicho para que te pille.
3.- Fortifica tu sistema: Muchas de las veces los engaños son tan tontos como incitarte a que instales un programa, como si fueran codecs de vídeo o similares, así que cuantos menos permisos tengas en tu sistema mejor. Configura el UAC al máximo nivel en Windows,  no utilices la cuenta de administrador para navegar por Internet y restringe el acceso a archivos importantes con listas ACL a cuentas privilegiadas que usas solo para acceder a ellos y no para navegar. Aplicar Máxima Seguridad en Windows es la idea.  
Por supuesto, fortifica tu navegador de Internet, así que revisa la configuración de los plugins para evitar que se ejecuten automáticamente. Revisa la configuración de los plugins en tu sistema y si son seguros o no. Puedes utilizar Browser Check para saber cómo está el navegador que estás usando ahora mismo.
Figura 5: Browser Check
4.- Haz un backup en discos desconectados y cifrados: Hazte una buena política de backups y cúmplela a raja-tabla. Usar un disco externo para los archivos importantes es una buena opción. Por supuesto, no los dejes conectados y con acceso para que cualquier ransomware que entre te los cifra también, así que desconecta el disco cuando acabes la copia.  Si no has hecho backup, revisa las Shadow Copies de Windows, para ver si hay alguna copia del sistema.
5.- Copia de seguridad en Cloud: Asegúrate que las copias de seguridad se hagan desde cuentas privilegiadas y que no puedan borrar los archivos de copias anteriores. Es decir, que hagan copias de seguridad pero que no puedan borrar las existentes. La política de borrado de copias de seguridad hazla en el servidor de Cloud con otro acceso. Así, si en algún momento se hace una copia de los archivos cifrados, podrás tener la copia anterior.

Nota sobre el Sentido Común como arma defensiva

Por último, me gustaría hacer una reflexión para todos esos que recomiendan "Sentido Común" como única medida de protección. El sentido común no te va a defender de un 0day, una campaña de malvertising o un ataque de waterholing a una web que visitas habitualmente. En esos casos el sentido común es que tengas tu equipo fortificado para ello y que no pienses que no necesitas haber robustecido tu sistema informático.

Como en todo lo que concierne a la seguridad informática, no hay garantía absoluta de que estas medidas sean del todo efectivas para el 100% de los casos, pero seguro que en muchos de los que estáis jodidos con estos extorsionadores podríais haber continuado tu vida sin tener que pagar el secuestro y además te ayudarán a vivir después de un posible robo/perdida del equipo o de que se te rompa porque... las cosas pasan.

Descifrar algunos ransomware

Un hacker ha compilado todas las soluciones conocidas para recuperar los ficheros de estos Cryptolockers en una herramienta llamada Ransomware Response Kit, así que prueba eso.
- Solución 1: Probar con las Shadow Copies de Windows
- Solución 2: Probar a descifrar una variación de Cryptolocker conocida como TeslaCrypt
- Solución 3: Probar a ver si funciona con solución que Kaspersky ha publicado con una herramienta para descifrar BitCryptor y CoinVault
Saludos Malignos!

22 comentarios:

  1. ¡Profesooora un cibercriminal me ha cifrado los deberes!

    ResponderEliminar
  2. En alguna ocasión se ha llegado a comprometer el servidor que alojaba las claves privadas y se ha podido descifrar la información del usuario afectado.

    ResponderEliminar
  3. Una recomendación adicional: mantener un histórico de las copias de seguridad(en cloud o dónde sea). Son muchos los que hacen copias de los archivos modificados recientemente a un disco offline. Lo malo es que a veces los archivos modificados recientemente lo son porque han sido crifados (y no notificado a la víctima) y se pisan las copias de seguridad por vesiones cifradas durante el tiempo que el ramsomware actúa silenciosamente.

    ResponderEliminar
  4. Yo personalmente mantengo un backup de toda la información en un disco duro externo, que a su vez tiene backup en otro disco que se realiza en otra máquina, y cuando realizo el backup lo hago sin conexión a Internet y revisando algunos archivos, tampoco almaceno claves ni nada por el estilo, por lo que si me llega a pasar (Dios no lo permita) la información perdida seria mi colección musical, la cual podría descargar de a pocos desde la página de Google Music o desde otra parte

    ResponderEliminar
  5. Maligno ni el sentido comun ni tener todo tu sistema actualizado te va a proteger de un 0Day.

    ResponderEliminar
  6. O mejor solucion, utilicen linux.. 99% de estas cosas no pasan.

    ResponderEliminar
  7. Por mucho decir que si actualizar todo y tal, realmente lo primero que tiene que aprender la gente es que softonic = Caca xD

    ResponderEliminar
  8. Al final para navegar casi mejor hacerlo desde una máquina virtual. Con el modo Unity de VMWare ni te enteras que la ventana del navegador se está ejecutando en una máquina virtual... Eso sí, consume muchos más recursos...

    ResponderEliminar
  9. @Anónimo de las 3:03. No será el primer 0day que no se puede explotar por medidas de mitigación de impacto....

    Saludos!

    ResponderEliminar
  10. Chema, yo subo mis copias de seguridad a icloud y confío plenamente en la manzana mordida.

    ResponderEliminar
  11. A nuestra empresa nos salvó mantener a los usuarios como NO ADMINISTRADORES de sus equipos y las ShadowCopies de Windows. Pudimos rescatar el 100% de los datos encriptados por estos cabrones.

    ResponderEliminar
  12. Estoy de acuerdo en que hay que fortificar el sistema y hacer copias de seguridad, por supuesto!
    Pero me gustaría preguntar, ¿es realmente necesario usar un Antimalware en GNU/Linux?

    Y lo que me gustaría matizar es que el sentido común sí que es útil, gracias a él no instalo cualquier cosa en el móvil y hago las copias de seguridad en discos separados, no pincho en links "raros"... creo que eso ayuda xD

    ResponderEliminar
  13. Bueno pues, precisamente mi propuesta en una investigación que realizo actualmente con la cryptovirología contempla el hecho de crear una nube de respaldos con control de versiones. Las pruebas preliminares serán con DropBox y GDrive, para pasar a crear una nube propia y mirar los pro y los contra. Sin embargo, en el caso de una nube externa (DropBox, por ejemplo) un contra siempre será que no sabemos quien mira nuestros archivos personales o los que más celamos. Un complemento sería cifrar la información que sincronizamos para asegurarnos de nuestra privacidad, pero bueno, eso ya es otro tema. Saludos!!!

    ResponderEliminar
  14. A nosotros en la empresa nos salvo Yildun Cloud Backup.

    Copias de Seguridad diferenciales supercomprimidas y encriptadas en la nube.

    La verdad que es un asunto que no se le da mucha importancia hasta que ocurren cosas cómo las de Cryptolocker.

    Antes se usabamos discos externos USB para almacenar las copias de seguridad, hasta e día que uno tuvo unos sectores defectuosos y tuvimos problemas para obtener algunos datos. Desde que estamos en servidores remotos ningún problema (toquemos madera ...)

    ResponderEliminar
  15. Y no lo bajéis de Softonic...

    ResponderEliminar
  16. Tres particiones.

    Una para el sistema C:
    Otra para datos D:
    Y otra en modo solo lectura para backups.

    Por supuesto, todos los discos cifrados.

    No entiendo, a la gente, como lo instala todo en una sola partición. Incluso veo a informáticos de grado medio y superior instalando windows en una sola partición.

    ResponderEliminar
  17. Cryptolocker fue uno de los ransomware más dañinos para nuestros clientes en las últimas semanas. Pudimos desencriptarlo a través de esta web http://zar.sge.gov.tr pero siempre queda la duda de qué pasa con el fichero que les proporcionas

    ResponderEliminar
  18. Todos habláis de prevención, eso ya me lo tengo muy visto, y ya que no soy yo la administradora de los PCs a los que "ofrezco soporte", no me concierne (que los de arriba organicen como vean más adecuado, allá ellos).

    Mi pregunta no es acerca de la prevención, sino de la cura. ¿Qué hacer una vez te has infectado con el dichoso ransomware? ¿Alguien tiene alguna solución sobre cómo eliminar al bicho? Recuperar los archivos no es prioritario, pero si también cabe el conocimiento, obviamente no se rechaza.

    ResponderEliminar
  19. no hay manera desire, lo siento.

    ResponderEliminar
  20. hola, he sido infectad en el movil por un ransomware alguien me podria decir cuanto tarda Avast Ransomware Removal en limpiar el sistema. Por lo k he leido es efectivo me lo podrian asergartambien necesito ayada si me puede responder gracias

    ResponderEliminar
  21. Buenas joven chema, una consulta el sistema Linux podría ser considerado como una posible solución, saludos.

    ResponderEliminar
  22. Al usar Dataprius y tener los archivos en esta nube, pues los archivos no se ven afectados. Es diferente al concepto de sincronización. Si se usa dropbox o drive por ejemplo se transmite el efecto del virus ya que los archivos están al alcance del virus.
    La mejor prevención es que los archivos no estén ahí.

    ResponderEliminar