Secuestro de archivos a cambio de un rescate

(Ransomware)
Lloni Huitson Villanueva Magallan
Gianny Warhol Castillo Guerra

Resumen Este artculo trata sobre la descripcin general sobre

Ransomware, software malicioso. Empezaremos con una breve
historia sobre de cmo se desarroll este software, los tipos, su
funcionamiento, la forma de actuar y su prevencin; al final
tendremos como conclusin que la mejor defensa ante este software
malicioso es la prevencin, tener en cuenta siempre la actualizacin
de nuestro sistema y antivirus para que disminuya el riesgo de
infectar nuestro equipo.

Palabras clave cdigo malicioso, malware, software

malicioso.
I.

NOMENCLATURA
1.
2.
3.
4.

Ransomware del ingls ransom (rescate) y ware (software).

Exploit Kit Un exploit kit es un kit de software diseado para
ejecutarse en servidores web.
Spear phishing Intentos de phishing dirigidos a particulares o
empresas especficas.
Drive-by download significa dos cosas, ambas relacionadas con la
descarga involuntaria de software a travs de Internet.

II. INTRODUCCIN

EL

presente documento proporciona informacin sobre

Ransomware es un tipo de cdigo malicioso utilizado por los
cibercriminales que se caracteriza por secuestrar los
dispositivos de los usuarios, ya sea impidindoles el acceso o
cifrando los archivos. Para poder volver a tomar el control del
sistema y sus documentos, los delincuentes demandan el pago
de un rescate al usuario, siendo variable la cantidad de la
cuanta.
Este tipo de ransomware lleva varios aos afectando a
usuarios de muchos pases, aunque su progresin ha ido
avanzando y recientemente se ha extendido a dispositivos
mviles.
III. DESARROLLO DEL ARTCULO

Para explicar que Ransomware es un software malicioso que

una vez se ejecuta en nuestro equipo impide el funcionamiento
normal del mismo, ya que, entre otras, que le da al
ciberdelincuente la capacidad de bloquear el PC desde una
ubicacin remota y encriptar nuestros archivos quitndonos el
control de toda la informacin y datos almacenados.
Para desbloquearlo el virus lanza una ventana emergente en
la que nos pide el pago de un rescate.
Un ransomware (del ingls ransom, 'rescate', y ware, por
software) es un tipo de programa informtico malintencionado
que restringe el acceso a determinadas partes o archivos del
sistema infectado, y pide un rescate a cambio de quitar esta
restriccin.
Historia del Ransomware
Segn Avast actualmente detecta 197 ransomwares
diferentes. Aqu alguna de ellas, dinmica de lo que se detecta
actualmente:
Nombre: AIDS Trojan (1989)
Este fue el primer ransomware conocido
Ocultaba carpetas y encriptaba ficheros
Se ejecutaba despus de 90 reinicios del ordenador
Peda un rescate (enmascarado como licencia de software)
para ser pagado en una cuenta de Panam
Su rescate es de 189 378 dolares.
Nombre: Archiveus Trojan (2006)
Primer ransomware que us encriptacin RSA.

Exiga a las victimas comprar artculos de farmacia on-line.

Encriptaba toda la carpeta de mis documentos
Nombre: GPCode Trojan (2006)
La versin inicial usaba un algoritmo de encriptacin
propietario. En 2010 se lanz una versin mejorada con
encriptacin avanzada (RSA/AES), su rescate es de 100 200
euros.
Nombre: Reveton (Virus de la Polica 2012)
Se conecta a la botnet ZeuS/Citadel
Muestra direccin IP, webcam,
Usa Geolocalizacin para personalizar el mensaje.
Su rescate es de 200 dolares.
Nombre: Cryptolocker (2013)
Las mquinas infectadas se conectaban a la botnet Gameover
ZeuS.
La clave privada necesaria para desencriptar los ficheros se
almacenaba en los servidores C&C.
Cryptolocker y la botnet ZeuS se cerraron en mayo del 2014
tras la Operacin Tovar. Las claves privadas se usaron para
crear una herramienta online de recuperacin de ficheros
cifrados.

Nombre: Cryptowall (2014)

Usa Geolocalizacin para personalizar los mensajes.
Usa la red I2P para la conexin con el servidor C&C que
almacena las claves privadas, y la red Tor para el pago del
rescate.
Dado el xito de Cryptolocker, aparece como un clon
mejorado despus de la Operacion Tovar.
Nombre: Locky (2016)
Ms de 90.000 equipos infectados cada da.
Se hizo popular tras la infeccin de equipos en varios
hospitales norteamericanos.

Fig. 1. Lnea de Crecimiento del Ransomware del incremento de

infeccin del ransomware.

Fig. 4. RansomwareCribit A.

Fig. 2. Los 10 pases (de diciembre de 2015 a mayo de 2016).

Tipos de Ransomware.
Ransomware que cifra Archivos.
Se comunica con el atacante a travs de Tor mientras exige la
transferencia de dinero.
Cryptolocker, CTB-Locker y TorrentLocker son los ms
resonantes. Estas variantes son detectadas por los productos de
ESET bajo el nombre Win32/FileCoder.

Fig. 5. Ransomware Transbind A.

Ransomware de Pantalla de Bloqueo.

No es posible usar el equipo hasta haber pagado el rescate.
Reveton es una de las familias ms encontradas en entornos
virtuales.
Ransomware para Dispositivos Mviles
Las mismas amenazas llegan a nuevas plataformas.
En Android encontramos a Simplocker, en iOS a WireLurker
y, adems, nuevas variantes del Virus de la Polica.
Fig. 6. Ransomware Crilock A.

Estadistica:
2500 Dlares le cost a una compaa argentina recuperar
sus datos.
15% De las detecciones de CTB-Locker fueron en pases
hispanoparlantes.
500000 De las detecciones de CTB-Locker fueron en pases
hispanoparlantes.
1.44% De las vctimas de TorrentLocker termin pagando el
rescate.
Fig. 7. Ransomware Reventon. C.

Algunos ejemplos de Ransomware.

Fig. 8. Ransomware Sofiblock A.

Fig. 3. Ransomware Adslock A.

8.

Fig. 9. Ransomware CryptoLocker.

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.

Cmo funciona Ransomware?

Explotacin del sistema.
Propagacin por correo, pendrive u otros.
Instalacin.
En la mayora de los casos, tras abrir un archivo
adjunto infectado en un correo electrnico.
Identificacin de archivos a cifrar.
Cifrado de datos.
Las ultimas variantes de Filecoder unas RSA de 2048
bits.
Notificacin a usuario.
Puede usar rucos como hacerse pasar por polica para
asustar a la victima
Espera por pago.
Los mtodos aceptados van desde tarjetas prepagas
hasta bitcoins o cupones de MoneyPak, Ukash y
cashU, para otorgar anonimato.
Entrega de las claves de cifrado.
Nada asegura que el atacante devuelva el control del
equipo infectado.

Cmo Reconocer y evitar el secuestro de su

Informacin?
1. Contar con una solucin integral de seguridad que
pueda detectar y bloquear amenazas conocidas de
manera temprana.
2. Actualizar aplicaciones y componentes del sistema
operativo a su ltima versin, porque el ransomware
aprovecha vulnerabilidades.
3. Los correos electrnicos son un importante vector de
propagacin, por eso es importante: evitar divulgar la
direccin, revisar el remitente, tener cuidado con
ofertas tentadoras, vericar si se trata de un correo
dirigido y ltrar los archivos ejecutables.
4. Educar al personal para que no sucumba ante las
tcnicas de Ingeniera Social que se utilizan como
puerta de entrada para la infeccin.
5. Una adecuada poltica de backup asegurar la
restitucin de bases de datos y la continuidad del
negocio incluso en los escenarios ms sombros.
6. Genere un Respaldo, asegrese de hacer copias de
sus archivos importantes. Es recomendable crear dos
copias de seguridad: almacenada en la nube y la otra
fsicamente (en un disco duro porttil, USB, etc.)
7. Escucha a tu Antivirus, si usted recibe una
advertencia de su antivirus acerca de una posible
amenaza, reprtelo a su equipo de soporte tcnico.

Cuidado con los Pop-ups, cierre inmediatamente las

ventanas emergentes que pidan que actualice su
informacin de la cuenta o que pidan instalar
aplicaciones que no solicit.
9. Marque sus Sitios Favoritos, los hackers a menudo
crean pginas con nombres muy cercanos a los sitios
ms usados (Gogle.com por ejemplo). Guarde los
sitios Web ms utilizados para evitar escribir la
direccin equivocada y terminar en un lugar que no
haya sido solicitado.
10. Si usted cree que ha sido infectado, NO PAGUE
RESCATE A LOS HACKERS! Desconecte su equipo
de la red y llame a su proveedor de servicios de TI
inmediatamente.

Cmo se secuestran los datos?

El ransomware llega al PC del Usuario.
Ransomware Bloquea la pantalla y, solicita rescate.
Crypto-Ransomware Identifica y cifra ciertos
archivos y, solicita el rescate.
Cmo se paga el rescate?
La victima recibe una solicitud de rescate con
instrucciones de cmo realizar el pago en Bitcoin.
La victima compra Bitcoin y lo transfiere a la
direccin Bitcoin del ataque.
La victima enva el comprobante de la transferencia
como prueba del pago.
Realiza la transaccin, en cibercriminal enva las
instrucciones de descodificacin a la vctima.
Cmo se paga el rescate?
Una vez dentro del sistema, el crypto-ransomware se
conecta a dominios generados aleatoriamente para
descargar una clave pblica.
Identifica archivos de trabajo importantes o sensibles
como .doc, .xls o .pdf por ejemplo.
Genera una clave para cada archivo y despus lo
cifra.
Luego, el crypto-ransomware escribe la clave de
cifrado al comienzo de todos los archivos.

Chantaje.
Una vez ha penetrado en el ordenador, el malware se activa,
produciendo un bloqueo del sistema operativo. Entonces en
pantalla aparecer un mensaje con la amenaza y el importe del
chantaje.
Para asustar todava ms, se muestra tu direccin IP, tu
ciudad y el nombre de tu proveedor de Internet. En realidad,
estos datos son pblicos y es fcil acceder a ellos.
Ransomware Representa el 51% de las Variantes de
Correos Fraudulentos
Segn la empresa, los correos con ransomware representan al
menos el 51 por ciento de todas las variantes de correos
electrnicos fraudulentos. El crecimiento estara dado porque
el ransomware es cada vez ms fcil de propagar y el email

sigue siendo el mtodo ms fcil y con un rpido y gran

retorno de inversin.
"El precio del rescate de un ransomware suele ser de 1 o 2
Bitcoin (de U$S 400 a U$S 1000), el cual es un precio
relativamente bajo para una pequea y mediana empresa" dijo
Brendan Griffin, director de PhishMe. La cantidad es lo
suficientemente baja como para que a menudo sea fcil el
pago, en lugar de luchar para recuperar los datos por otros
medios.

Fig. 10. Porcentaje de ransomware Fraudolentos en Correos.

El ransomware nuevo, es fcil de crear y estos "servicios"

atraen a ms delincuentes y a nuevos jugadores al negocio. Por
ejemplo, Locky y TeslaCrypt, dos variedades comunes de
ransomware han experimentado un crecimiento significativo,
pero no todos los tipos de ransomware ido tanen. CryptoWall,
por ejemplo, parece haber cado en desgracia, inform
PhishMe. En octubre y noviembre del ao pasado, CryptoWall
representaba el 90 por ciento de las muestras de ransomware y
en marzo de este ao, casi el 75 por ciento de todas las
muestras eran de Locky.
Cmo evitar el Ransomware?
Las prcticas para evitar ser infectado por este malware son
comunes a las que debemos seguir para evitar otros virus.
Mantener nuestro sistema operativo actualizado para
evitar fallos de seguridad.

Tener instalado un buen producto antivirus y

mantenerlo siempre actualizado.
No abrir correos electrnicos o archivos con
remitentes desconocidos.
Evitar navegar por pginas no seguras o con
contenido no verificado

Mitigacin:
Al igual que muchas formas de malware, los programas de
seguridad las detectan (ransomware) una vez que han hecho su
trabajo, especialmente si una versin de malware est siendo
distribuida. Si un ataque se detecta de manera temprana, se
puede eliminar de manera sencilla sin darle tiempo de
comenzar el proceso de encriptacin. Expertos sugieren
instalar software que ayuden a bloquear este tipo de ataques
conocidos, como as tambin tener respaldos de seguridad en
lugares inaccesibles para cualquier malware.

IV. CONCLUSIONES

La mayor seguridad es la Prevencin.

Los cibercriminales normalmente tratan de explotar el
eslabn ms dbil, por lo que es fundamental educar y
formar a los usuarios, ya que son normalmente el
principal objetivo.
No confe en los que afirman que pueden lograr una
proteccin del 100%, estn mintiendo.
REFERENCIAS

https://www.sonicwall.com/whitepaper/2016-dellsecurity-annual-threat-report8107907.
http://www.icitech.org/wp-content/uploads/2016/03/ICITBrief-The-Ransomware-Report.pdf
https://blog.knowbe4.com/a-short-history-evolution-ofransomware
https://es.wikipedia.org/wiki/Ransomware
http://www.pandasecurity.com/spain/mediacenter/consejo
s/que-es-un-ransomware/