“Más vale prevenir que curar”, y en el caso de los Ransomware es mejor adaptar todos los medios para evitar un contagio. Pues bien, este tipo de malware no solo infecta tus datos, sino que intenta extorsionar al usuario.
Quizás es uno de los peores males que un dispositivo pueda padecer, el objetivo de los Ransomware es sencillo: prohibir el acceso al dispositivo hasta que el usuario principal pague el rescate.
Como mencionamos es mejor prevenir que luego pagar un rescate, por ello en este artículo te comentamos los diferentes tipos de Ransomware y sus funciones.
Herramientas gratuitas para recuperar archivos cifrados por ransomware
¿Qué es un Ransomware?
El Ransomware conocido como “malware de rescate”, es una clase de malware que bloquea archivos y dispositivos para luego pedir un rescate mediante cobros anónimos. “Ransom” proviene del inglés y significa rescate.
Este malware se ha desarrollado desde los primeros años de la década de los 80, con el avance de la tecnología se han hecho más feroces y con herramientas que cifran la totalidad de los archivos del sistema operativo.
¿Cómo se puede infiltrar el Ransomware?
Una de las formas más comunes de infectar el dispositivo con Ransomware es visitar sitios web maliciosos, donde se pide descargar, añadir programas/extensiones o abrir ventanas emergentes. El usuario debe mantenerse alerta, el abrir la puerta a este tipo de malware le costará mucho. Otras maneras en las que se puede infiltrar son:
- Descargar archivos maliciosos
- Abrir documentos, carpetas, archivos infectados
- Instalar softwares no seguros
Una vez infectado, el malware permanecerá oculto, un antivirus convencional posiblemente no lo reconozca. Podrás reconocer la infección del sistema cuando se presenten cambios de archivos, extensiones, actividad dudosa, entre otras.
¿Cuáles son los tipos de Ransomware?
Ahora bien, una vez conceptualizado el Ransomware es preciso detallar los tipos de Ransomware, por supuesto, cada vez aumentan los programas maliciosos y pueden existir nuevos tipos. Sin embargo, en este apartado te mencionamos los más populares.
Cifrado de archivos
Este tipo de ransomware es el más común y utiliza un algoritmo de cifrado para encriptar los archivos del usuario. Una vez que el ransomware ha cifrado los archivos, se muestra un mensaje que indica que se debe pagar un rescate para recuperar los archivos.
Bloqueador de sistema
El ransomware bloqueador de sistema no cifra los archivos del usuario, sino que bloquea completamente el acceso al sistema. Una vez que se muestra el mensaje de rescate, el usuario no puede acceder a su ordenador hasta que pague el rescate.
Leakware
Este tipo de ransomware no encripta ni bloquea los archivos del usuario, pero amenaza con publicar información sensible del usuario si no se paga el rescate. El objetivo de este tipo de ransomware es extorsionar al usuario para que pague el rescate con la amenaza de publicar información privada.
Scareware
El scareware no encripta ni bloquea los archivos del usuario, pero muestra un mensaje falso que indica que se ha encontrado un virus en el sistema del usuario. El mensaje le pide al usuario que compre un antivirus falso para eliminar el virus. El usuario no tiene otra opción que pagar por él para eliminar un virus que en realidad no existe.
RaaS
RaaS, o «Ransomware como servicio», es un modelo de negocio donde los desarrolladores de ransomware ofrecen su software malicioso a otros ciberdelincuentes a cambio de una comisión. Este modelo de negocio ha llevado a un aumento en la cantidad de ransomware disponible en el mercado, lo que ha llevado a un aumento en los ataques de ransomware.
Como ves, existen diferentes tipos de ransomware, cada uno con su propia forma de infectar al usuario. Es importante tomar medidas preventivas, como mantener un buen antivirus actualizado y no descargar software de fuentes no fiables para reducir la probabilidad de ser víctima de un ataque de ransomware.
Algunos de los Ransomware más comunes
Phobos
En 2018 se identificó este tipo de Ransomware, denominado Phobos que deriva del dios griego del temor y el horror. Este malware está relacionado con dos virus informáticos que se destacan por su enfoque: el Dharma y Crysis.
El Ransomware Phobos pone en peligro miles de servidores de empresas explotando los protocolos de escritorio remoto (RDP) con configuraciones débiles. Emplean dos vectores de ataques: las campañas de Phishing y obtención de acceso directo mediante RPD.
Phobos se ha popularizado entre los ciberdelincuentes por permitir un ataque impactante sin muchos conocimientos o habilidades informáticas. El Ransomware se oculta en carpetas claves, establece claves de acceso, borra copias de seguridad, bloquea el modo de recuperación y desactiva cortafuegos.
Utiliza un cifrado avanzado AES-256 junto al algoritmo RSA-1024; si el dispositivo ha sido infectado podrás notar un renombre en los archivos y los siguientes elementos:
- Número ID
- Dirección email
- Extensión para diferenciar a los responsables
Es un Ransomware potente que hasta el momento no cuenta con un descifrador o antivirus que pueda combatirlo.
Dharma
Dharma se comporta como un Trojan-ransomware, por su poderoso encriptador asimétrico, el cual es de alto riesgo. Se encarga de encriptar archivos de unidades locales, directorios compartidos e imposibilita la restauración del equipo.
Durante 2017 y 2018 este Ransomware causó grandes daños, considerándolo un virus de alto riesgo para los equipos. Se ha distribuido por diversos medios en los sitios web, campañas de correo, archivos, softwares, entre otros.
Una vez que cifra toda la información, solicita un rescate “económico” para la recuperación de los archivos. Utiliza un cifrado AES.256 y explota la vulnerabilidad del equipo CVE-2018-843. Hasta el momento se conoce que Dharma emplea más de 60 variantes del virus CrySIS.
Sodinokibi
Sodinokibi es un Ransomware para sistema operativo Windows, se emplea para cifrar archivos que se encuentran alojados en el dispositivo de la víctima. Los usuarios principales no podrán acceder a sus archivos hasta que se pague el rescate.
Aunque sus desarrolladores no le han dado un nombre oficial, investigadores y autoridades cibernéticas le han denominado “Sodinokibi”. El modo de ataque de este Ransomware es de fuerza bruta, es decir, evade los antivirus y explota las vulnerabilidades del sistema, muy similar al Phishing o exploits.
El Ransomware descarga un archivo .zip donde se muestra el código de rescate y encripta los archivos del equipo.
Ryuk
Ryuk se encarga de encriptar la información esencial, especialmente la unidad y recursos de la red, elimina y deshabilita las instantáneas e incluso la restauración de Windows. Este Ransomware imposibilita la recuperación de los datos y pide un rescate por los mismos.
Generalmente, estos ataques se dirigen a objetivos que puedan tener un gran valor: empresas, gobiernos, organizaciones privadas, instituciones, escuelas, universidades, entre otras. En las entidades con activos digitales, este Ransomware suele ser devastador.
Conti
Por último, Conti es un Ransomware que ataca a las cooperativas y entidades de los gobiernos, se caracteriza por su acción remota que controlan o dominan de manera efectiva. Los desarrolladores y operadores del malware se encargan de hackear la red, dominan las credenciales del administrador, bloquean y encriptan la información del disco duro, añadiendo la extensión.
La única vía para desencriptar los archivos es contactar con los ciberdelincuentes mediante las direcciones de correo que proponen en el mensaje de rescate.
¿Qué hacer en caso de infección por Ransomware?
Si sospechas que tu ordenador ha sido víctima de un Ransomware o eres víctima de uno, es vital que no contactes con los ciberdelincuentes. En cambio, busca el apoyo legal y de herramientas para combatir el Ransomware. Te recomendamos que sigas estas indicaciones:
- Desconecta el ordenador de la red
- Evita comunicaciones con los ciberdelincuentes
- No intentes pagar el rescate
- Pide asistencia e instale software para eliminar Ransomware.
¿Cómo prevenir el ataque de los distintos tipos de Ransomware?
Para no volver a infectarse de malware lo mejor es llevar una buena política de prevención. Eso pasa por cumplir una serie de recomendaciones muy concretas:Fuentes fiables
Siempre debes instalar software de fuentes de confianza como las tiendas de apps propias del sistema operativo (App Store, Play Store, Software Ubuntu, Microsoft Store,…) o desde la web oficial del desarrollador del software que buscas. Por ejemplo, si deseas instalar Firefox y Acrobat Reader debes descargar desde la página oficial del proyecto de Mozilla y desde la web oficial de Adobe. Si usas fuentes desconocidas como Softonic, Download.com, Soft32.com, cnet.com, sitios similares a éste o webs dudosas, puede que lo que te descargues no sea exáctamente el programa. O si lo es, puede que su instalador o alguno de sus archivos esté modificado para infectarte. Esta recomendación también sirve para los controladores y drivers, que siempre debes descargarlos desde las webs oficiales.Evita software pirata
El software pirata se descarga desde webs poco seguras, además de que pueden contener programas Keygen o Cracks que podrían contener código malicioso e infectar tu sistema. Por tanto, usar software pirata es otra de las formas de infectarse de malware.Medios extraíbles conocidos
Especialmente los pendrives se han convertido en otra fuente de malware bastante común. No solo porque pueden estar infectados y poder transmitir la infección de un ordenador a otro, sino porque son una herramienta que es usada por los ciberdelincuentes para infectar redes y sistemas. Por ejemplo, en ocasiones los dejan aparentemente «abandonados» para que la víctima caiga en la trampa y lo conecte a su equipo para ver qué contiene.Contar con un buen programa antivirus y tenerlo actualizado
Los antivirus no son garantía de que no te infectes, pero si dispones de uno bueno, con una base de firmas actualizada, será menos probable que te puedas infectar. En nuestra guía sobre los mejores antivirus tienes algunas recomendaciones (Mejores antivirus para Android / Windows).Mantente actualizado
Tanto el sistema operativo Windows/macOS/Linux/etc como el resto de software que tienes instalado. Eso puede parchear muchas vulnerabilidades que pueden ser explotadas para infectar, robar información, o escalar privilegios en el sistema.Ignora emails sospechosos
El correo es otra fuente popular de contagio, especialmente de ransomware. Puede que te encuentres con correos electrónicos de Correos, de Endesa, de un banco, o de Hacienda, con archivos adjuntos. Los mensajes suelen alarmar al usuario para que descargue el archivo adjunto y así infectarlo. Estas entidades no suelen enviar emails con adjuntos, usan otras vías, por tanto sospecha. Por ejemplo, hace un tiempo me llegó un email de una tal Patricia que me decía que tenía varias facturas sin pagar, y que para evitar una sanción fiscal debía de abonar ya los pagos. Me adjuntaba un supuesto PDF con las facturas, y tenía extensión .pdf.iso. Algo muy muy sospechoso. Debes eliminar estos emails y nunca descargar los adjuntos.Navegación segura
Configura adecuadamente tu navegador web para evitar ciertos pop-ups, y otras amenazas. Navegar con un navegador con una buena política de seguridad, privacidad y anonimato, que elimine cookies, etc., puede ser una ayuda extra para todo lo anterior. No obstante, el usuario puede ser el problema si navega por páginas webs no seguras HTTP en vez de certificadas HTTS, o donde hay anuncios y ventanas emergentes que te incitan a descargar supuestas soluciones, etc.Redes seguras
Siempre debes conectarte a redes seguras, y eso incluye tanto redes cableadas, WiFi, y también otras tecnologías de conexión como Bluetooth. Siempre que no necesites estas redes debes desactivar en la configuración de tu sistema. Eso evitará que puedan ser aprovechadas por terceros malintencionados. Las redes WiFi abiertas (desprotegidas sin contraseña) o públicas son otro gran problema para la seguridad que deberías evitar.Backups o copias de seguridad
No debería hacer falta recordar la importancia de realizar backups o copias de seguridad periódicas. La frecuencia de las copias de seguridad debería ser directamente proporcional al valor de los datos que manejas. Si tienes datos o archivos muy importantes, deberían ser mucho más frecuentes. Así evitarás que un fallo técnico, malware (especialmente ransomware), etc., pueda dejarte sin esos valiosos datos. Las copias de seguridad deberían estar bien documentadas o etiquetadas con la fecha en la que se hicieron, además de estar en medios lo más seguros posibles. Es decir, medios extraíbles fiables y robustos, como memorias USB, etc. Los medios ópticos no son demasiado recomendables debido a que se pueden deteriorar o rayar con facilidad. Si estos consejos llegan tarde y ya estás infectado, sigue los pasos de nuestras guías para poder librarte de todo ese malware que tanto te molesta.Esperamos que con estas características de los distintos tipos de Ransomware que se han presentado a lo largo de los años puedas tener un mayor cuidado y proteger tu ordenador, de lo contrario podrías perder tu información.