WHITEPAPER

RANSOMWARE
Historia de una molesta amenaza
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE

ndice
Introduccin 4

1. Motivos de su xito 5

2. Precedentes
6

3. Del Virus de la polica a Torrentlocker 7 - 11

3.1 Puntos clave de las pantallas de bloqueo

3.2 El Virus de la Polica en Espaa
3.3 El Virus de la Polica en el mundo

4. Ransomware orientado a empresas 12 - 20

4.1 Ransomware Anti Child Porn

4.2 Ransomware Filecoder / Cryptolocker
4.3 Ransomware Torrentlocker
4.4 Ransomware VirLock
4.5 CTO Locker
4.6 CryptoFortress
4.7 Teslacrypt
4.8 Alphacrypt y Los Pollos Hermanos
4.9 Tox: Ransomware como un servicio
4.10 Cryptowall

5. Ransomware en otros sistemas 21 - 25

5.1 Android
5.2 Mac OS

6. Cmo evitar una infeccin por ransomware? 25

7. Conclusin 26

2 3
ESET / WHITEPAPER 2015 / RANSOMWARE
Introduccin
El ransomware es un tipo de cdigo malicioso utilizado por los ciber-
criminales que se caracteriza por secuestrar los dispositivos de los
usuarios, ya sea impidindoles el acceso o cifrando los archivos. Para
poder volver a tomar el control del sistema y sus documentos, los de-
lincuentes demandan el pago de un rescate al usuario, siendo variable
la cantidad de la cuanta.
Este tipo de ransomware lleva varios aos afectando a usuarios de
muchos pases, aunque su progresin ha ido avanzando y reciente-
mente se ha extendido a dispositivos mviles.
4 5
ESET / WHITEPAPER 2015 / RANSOMWARE
1. Motivos de su xito
El xito obtenido por este tipo de malware se puede atribuir a
los siguientes aspectos:
Propagacin efectiva: desde las primeras muestras, los
ciberdelincuentes que se esconden detrs de este tipo de
amenazas han demostrado una gran capacidad de aprove-
chamiento de vulnerabilidades para conseguir maximizar el
xito de la nuevas variantes que iban apareciendo. El uso de
agujeros de seguridad en aplicaciones tan extendidas como
Java o algunas aplicaciones de Adobe, unido a la distribucin
de este malware desde pginas web, ha provocado que miles
de usuarios se hayan infectado sin haber tenido que ejecutar
conscientemente un fichero malicioso.
Adaptacin al entorno: los ciberdelincuentes disean
campaas a medida a la hora de atacar diferentes regiones
del mundo. Utilizan imgenes y lenguaje localizado, para ga-
narse la confianza del usuario y engaarlo.
Ingeniera social: el uso repetido de mensajes donde se
muestra que el sistema ha sido bloqueado por haber realiza-
do actividades ilegales, como la descarga de contenido multi-
media o pornografa infantil, genera una sensacin de miedo
entre muchos usuarios, los cuales pagan la falsa multa cuan-
to antes.
Criticidad de los datos secuestrados: en el caso del ran-
somware orientado a empresas, la necesidad de acceder
cuanto antes a los datos secuestrados para poder seguir nor-
malmente con la actividad comercial acta a favor de los de-
lincuentes y, en algunos casos, hace que el usuario est dis-
puesto a pagar cantidades elevadas de dinero para recuperar
sus datos.
ESET / WHITEPAPER 2015 / RANSOMWARE
2. Precedentes
La creacin de cdigos maliciosos que impiden el acceso a nuestro sistema y que pueden destruir documentos
alojados en l no es algo novedoso. De hecho se pueden ver ejemplos que datan de principios de los 90.
Vemos uno de los ejemplos ms conocidos de este tipo de malware:
Casino
El virus casino tena una manera peculiar de interactuar con el usuario. Se activaba en ciertas fechas, aunque la
ms frecuente era el 15 de abril. Cuando el usuario de un sistema infectado lo iniciaba ese da, el malware copiaba
la tabla de asignacin de archivos (FAT por sus siglas en ingls) en la memoria RAM y, a continuacin, la elimina-
ba del disco duro. El usuario vea entonces una pantalla en la que se le ofreca la posibilidad de recuperar la FAT
del sistema si jugaba a una especie de mquina tragaperras.
Con solo 5 crditos disponibles, si el usuario era afortunado y consegua la combinacin ganadora, el malware
volva a escribir la tabla de asignacin de archivos en el sistema y recuperaba sus documentos. En cambio, si el
usuario no tena tanta suerte o reiniciaba su sistema, la FAT se borraba de la RAM y era imposible recuperar el
contenido del disco.
6 7
ESET / WHITEPAPER 2015 / RANSOMWARE
3. Del Virus de la polica a Torrentlocker
Las primeras muestras de ransomware para sistemas operativos Windows, tambin conocido en esos primeros
momentos como Virus de la Polica debido principalmente a que en la mayora de casos se suplantaba a algn
cuerpo de polica de algn pas, se detectaron en Alemania en marzo de 2011.
3.1 Puntos claves de las pantallas de bloqueo:
En estos primeros casos se pueden observar varios patrones que se repiten en variantes posteriores:
Suplantacin de Cuerpos y Fuerzas de Seguridad del Estado: se adaptan a cada pas y no tienen por qu
limitarse a solo un cuerpo de seguridad. Por ejemplo, en Espaa se us indistintamente a la Polica Nacional, la
Guardia Civil e incluso a unidades especializadas en delitos telemticos de estos cuerpos como la UIT o el GDT.
Mensaje con los supuestos delitos cometidos: mensaje encargado de convencer a los usuarios infectados de
que haban cometido supuestamente un delito y que, por ello, deberan pagar una multa para no ser llevados a
juicio. A lo largo del tiempo este mensaje ha ido adaptndose.
Identificacin del usuario: para terminar de convencer a la vctima de que estaba siendo investigada por la Po-
lica, se proporcionaban datos de su sistema como su direccin IP y su localizacin. En variantes ms avanzadas
los delincuentes aadieron la grabacin de la vctima usando su cmara web o incluso llegaron a copiar ficheros
con contenido pedfilo en el sistema infectado, a fin de realizar una captura de pantalla para ser mostrada al
usuario e inculparlo.
Mtodo de pago e instrucciones: debido a que el objetivo final de los delincuentes era conseguir que el usua-
rio abonase una cantidad de dinero utilizando sistemas de difcil rastreo, los delincuentes se encargaban de indi-
car a la vctima qu medios de pago poda utilizar para pagar el rescate y dnde poda obtenerlos. Adems, estos
sistemas cambiaban dependiendo del pas en el que se encontraba la vctima.
Personalidades, organismos y empresas de confianza: en algunas variantes se llegaba a utilizar varios lo-
gotipos de empresas u organismos ligados al mundo de la seguridad informtica. As pues, no era extrao en-
contrarnos con los logos de empresas antivirus, organismos dedicados a la lucha contra el cibercrimen e incluso
personalidades importantes y jefes de gobierno del pas correspondiente.
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE

3.2 El Virus de la Polica en Espaa En febrero de 2013 la Polica Nacional, en colaboracin con Interpol y Europol, realiz una importante operacin
policial en Mlaga que termin con la detencin de varias personas que formaban parte de uno de los grupos
Pocos meses despus de detectarse los primeros casos en Alemania, en junio de 2011 empezaron a verse casos encargados de difundir este tipo de amenazas. No obstante, tal y como se vio poco despus, ni este grupo era el
similares en otros pases europeos como Francia, Italia y Espaa. nico existente ni esta operacin logr terminar con la propagacin de estas variantes de ransomware.

Algunas de las ltimas variantes que se observaron en activo utilizaban la imagen del S.M. Juan Carlos I. Esta
estrategia se estaba usando en otros pases con sus correspondientes jefes de estado.

Tanto Polica Nacional como Guardia Civil emitieron durante el verano de 2011 sendos comunicados alertando
por primera vez a los usuarios, algo que se repetira en ocasiones posteriores.

A partir de ese momento vemos cmo los ciberdelincuentes adaptan las variantes, que cada vez son ms avan-
zadas. Estas mejoras no se limitan nicamente a actualizaciones grficas, sino que incorporan nuevos mecanis-
mos de defensa para hacer ms difcil su eliminacin.

Los delincuentes no solo hicieron uso del nombre de las Fuerzas y Cuerpos de Seguridad del Estado. Tambin
aprovecharon la popularidad de entidades de gestin de derechos como la SGAE para lanzar campaas de ran-
somware como la que vemos a continuacin.

Como dato curioso, tras la abdicacin de S.M. Juan Carlos I y la llegada al trono de S.M. Felipe VI , los delincuentes
adaptaron esta pantalla de bloqueo reflejando el relevo del monarca.

8 9
ESET / WHITEPAPER 2015 / RANSOMWARE
3.3 El Virus de la Polica en el mundo
No solo Europa est en el punto de mira de esta amenaza. Viendo el xito cosechado en varios pases europeos
durante los primeros meses de propagacin, los ciberdelincuentes empezaron a buscar nuevos mercados don-
de propagar sus creaciones. Una de las primeras regiones fuera de Europa en sufrir esta nueva oleada de ran-
somware fue Latinoamrica. El primer caso se descubri en Argentina en octubre de 2011.
El Virus de la Polica tambin lleg a los Estados Unidos. En agosto de 2012 se encontraron las primeras varian-
tes en su territorio. Como vemos en la imagen, stas ya incorporaban la grabacin de la vctima usando su pro-
pia cmara web, algo que las primeras variantes no tenan.
10
ESET / WHITEPAPER 2015 / RANSOMWARE
Otra de las regiones que se vio afectada fue Oriente Medio, con pantallas de bloqueo adaptadas perfec-
tamente a pases como Emiratos rabes Unidos, Lbano, Palestina o Arabia Saud.
Como dato curioso, cabe destacar que la cantidad solicitada por los delincuentes variaba entre regiones.
En Europa normalmente se solicitaban 100, mientras que en Estados Unidos esta cantidad era de 100$
y en Latinoamrica la cantidad bajaba a la mitad o incluso menos. Esto demuestra que los delincuentes
estn al tanto del poder adquisitivo de cada regin y solicitan como rescate cantidades que no supongan
un fuerte desembolso a las vctimas.
11
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE

4. Ransomware orientado a empresas

Con el xito obtenido por los ciberdelincuentes al propagar este tipo de amenazas entre usuarios finales, no era
de extraar que dirigiesen sus ataques a las empresas. Hasta este momento los casos de ransomware se limita-
ban a bloquear el acceso al sistema pero a partir de la aparicin del ransomware orientado a empresas, adems
de mostrar una pantalla de alerta, se cifran los ficheros importantes almacenados en el sistema como documen-
tos de texto, hojas de clculo, bases de datos, fotografas, archivos multimedia, etc.
Aunque tiene a las empresas en el punto de mira, los usuarios particulares tambin pueden verse afectados por
esta amenaza.
4.2 Ransomware Filecoder / Cryptolocker
Pocos meses ms tarde, durante el verano de 2013, apareci Filecoder / Cryptolocker, sin duda una de las mues-
tras de ransomware que ms quebraderos de cabeza ha dado a los administradores de sistemas de todo el mun-
do. Igual que el ransomware Anti Child Porn, Cryptolocker consigui un elevado nmero de infecciones debido
a que, adems de los vectores de infeccin habituales, los delincuentes atacaban las credenciales dbiles de ac-
ceso al protocolo de escritorio remoto (RDP). De esta forma conseguan acceder a la mquina e instalar el ran-
somware.

4.1 Ransomware Anti Child Porn

Durante el primer trimestre de 2013 comprobamos como miles de empresas vean sus sistemas infectados por

Esta variante de ransomware inclua avanzados mecanismos tanto de cifrado como de propagacin, se utiliza-
ron sistemas previamente infectados y pertenecientes a una botnet para infectarlos con Cryptoloker. Su xito
hizo que no tardaran en aparecer imitadores y en diciembre de 2013 apareci una supuesta variante conocida
como Cryptolocker 2.0.
En esta variante ya vemos alguno de los puntos que se repetiran en posteriores ocasiones como el uso de un tipo
de cifrado muy difcil de romper utilizando tcnicas de fuerza bruta, o el pago de una cantidad ms elevada con Entre estas dos variantes existen algunas diferencias que podemos ver en la siguiente tabla:
respecto al Virus de la Polica. Si en casos anteriores veamos que con 100 bastaba para volver a tener el control
de nuestro sistema, en estas ocasiones los delincuentes demandaban cantidades que iban desde los 300 o 500
hasta los varios miles de euros.

Hay que destacar que muchas de las vctimas lo fueron porque algunas de estas variantes de ransomware se
aprovechaban de una vulnerabilidad en servidores Windows 2003 que no estaba parcheada en los sistemas in-
fectados, algo que facilitaba mucho la tarea a los atacantes.

12 13
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE

Fueron muchos los que cayeron en la trampa y pulsaron sobre el enlace proporcionado en el correo para, segui-
damente, descargarse el fichero y ejecutarlo. Con esa sencilla accin, los delincuentes consiguieron infectar a
miles de usuarios.

Torrentlocker demostr una vez ms que si se usa bien la ingeniera social para engaar a la vctima, no hace
falta que el malware sea especialmente elaborado.

4.4 Ransomware VirLock

Visto el xito cosechado por los creadores de este tipo de malware durante los ltimos aos, no es de extraar
que sigan apareciendo nuevas variantes e incluso que estas incorporen innovaciones. Es el caso de VirLock. Ac-
ta como un virus parasitario, ya que infecta los archivos existentes en los equipos. Adems, es polimrfico, lo
que lo convierte en un tipo de malware muy interesante para analizar. Es la primera vez que observamos una
combinacin de funcionalidades maliciosas de este tipo.

4.3 Torrentlocker

Sin duda, la variante de ransomware que ms dio de que hablar en 2014 fue Torrentlocker. Este ransomware fue
descubierto en febrero de 2014, aunque no fue hasta el mes de agosto cuando se empezaron a observar campa-
as de propagacin masiva de la amenaza.

Torrentlocker solo acta en ciertos pases y normalmente suplanta la identidad de algn organismo o empresa,
como el servicio nacional de correos. La primera campaa de este tipo fue detectada en agosto de 2014 por inves-
tigadores de iSight Partners y suplantaba al servicio postal de Australia.

Poco tiempo despus, a principios de septiembre, investigadores de ESET descubrieron que el servicio postal
britnico Royal Mail era suplantado por los delincuentes para ganarse la confianza de los usuarios y hacer que
se descargasen la amenaza.

Pero no fue hasta principios de diciembre cuando Torrentlocker hizo su aparicin en Espaa. Durante la tarde
del mircoles 3 de diciembre se enviaron miles de emails en nombre del servicio postal de Correos, en los que se
comunicaba la recepcin de un paquete.

14 15
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE

4.5. CTB-Locker 4.6 CryptoFortress

Otra de las variantes que ms propagacin obtuvo durante la primera mitad de 2015 fue CTB-Locker. Esta varian- CryptoFortress es una variante de CryptoLocker / Filecoder. Sus creadores, al igual que muchos otros, reciclaron
te sola distribuirse como fichero adjunto en un correo que simulaba ser una comunicacin por fax. las plantillas que ya estaban creadas de otros ransomware anteriores.

Cuando este ransomware infecta el sistema, cifra archivos con extensiones MP4, PEM, JPG, DOC o DB entre
otras. Posteriormente, se muestra la siguiente imagen en el escritorio de la vctima:

Esta variante tambin utiliza correos electrnicos para distribuirse. Sin embargo, el cdigo fuente del malware,
Una de las peculiaridades de CTB-Locker, y tambin de las variantes que aprovechan el falso email de Correos, es su funcionamiento y la manera de cifrar los archivos son diferentes a otras variantes de ransomware.
que solicita el pago del rescate en bitcoins. Esto hace ms difcil rastrear el dinero obtenido por los delincuentes
aunque tambin supone un impedimento para conseguir ms vctimas puesto que son pocas las empresas afec-
tadas que acostumbradas al uso de esta criptomoneda.

16 17
ESET / WHITEPAPER 2015 / RANSOMWARE
4.7 Teslacrypt
El caso de TeslaCrypt result curioso. Adems de cifrar los ficheros habituales, Teslacrypt tambin buscaba fiche-
ros relacionados con videojuegos. De entre los 185 tipos de ficheros que cifraba se encontraban algunos pertene-
cientes a juegos como Call of Duty, Minecraft, StarCraft2, Skyrim, World of Warcraft, League of Legends, World
of Tanks o el propio cliente de Steam, entre muchos otros.
Esta variante demuestra que no hay grupos de usuarios descartables para los delincuentes y que aquellos que
utilizan su sistema para jugar tambin pueden ser un objetivo apetecible. Sin embargo, la popularizacin de las
descargas digitales hizo que muchos de los afectados prefirieran volver a instalar el sistema y todos sus juegos a
pagar el rescate, por lo que esta variante no tuvo especial repercusin.
18
ESET / WHITEPAPER 2015 / RANSOMWARE
4.8 Alphacrypt y Los Pollos Hermanos
Al igual que sucediera con el Virus de la Polica, una vez que el ransomware se ha popularizado como mtodo
para obtener dinero rpido por parte de los delincuentes, han aparecido copias que reutilizan el cdigo con m-
nimos cambios estticos (o ni siquiera eso).
Entre los ejemplos ms destacados encontramos Alphacrypt, con un diseo prcticamente idntico a las prime-
ras variantes de Cryptolocker y Los Pollos Hermanos, un ransomware que solo destaca por el homenaje que
hace a la serie Breaking Bad y que solo tuvo repercusin limitada en Australia.
19
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE

4.9 Tox: Ransomware como un servicio 4.10 Cryptowall

Una de las ltimas novedades del mercado organizado por los cibercriminales es la creacin de un servicio de El ransomware conocido como Cryptowall fue analizado por primera vez en febrero de 2014, aunque investiga-
ransomware a la carta. Un ejemplo de esto fue Tox, un servicio online en la Deep Web que permita crear nuestra ciones posteriores demostraron que estaba siendo distribuido por lo menos desde noviembre de 2013, pocos me-
propia variante en tres sencillos pasos. ses despus de que Cryptolocker hiciera su aparicin. En las primeras pantallas de bloqueo utilizadas se aprecia
el parecido con Cryptolocker.

Imagen obtenida del blog Secureworks de Dell

Poco tiempo despus, el creador de este portal abandon el proyecto al afirmar sentirse sobrepasado por el xito
obtenido. No es de extraar ya que el creador result ser un adolescente que prefiri retirarse antes de que la
cosa fuera a mayores.
El nombre de este ransomware tambin ha sufrido cambios a lo largo de su historia. Comenz siendo conocido
como CryptoClone debido a su similitud con otras variantes. Posteriormente, fue rebautizado como CryptoDe-
fense y finalmente, a mediados de 2014, adopt su denominacin actual: Cryptowall.
Desde su creacin ha sido una de las variantes de ransomware ms extendida por todo el mundo. El FBI inform
recientemente de que desde abril de 2014 a junio de 2015, los ciberdelincuentes consiguieron obtener 18 millones
de dlares en los 992 casos reportados nicamente en Estados Unidos.

Evolucin y cambios en Cryptowall

Cryptowall ha sido tambin uno de los ransomware que ms se ha adaptado con el paso del tiempo. Ha cam-
biado sus vectores de infeccin y mtodos de pago, entre otras caractersticas. Hasta ahora se conocen tres
versiones diferentes.

Uno de sus principales vectores de infeccin fue el envo masivo de correos electrnicos con ficheros maliciosos
adjuntos o enlaces que conducan al usuario a la descarga del malware. An hoy en da esa tcnica sigue tenien-
do mucho xito con nuevas variantes de ransomware.

No obstante, los ciberdelincuentes que se encuentran detrs de estas campaas de propagacin de Cryptowall
se dieron cuenta de que el uso de kits de exploits podra maximizar el nmero de sistemas infectados (el usuario
tan solo debe visitar una web preparada para tal fin o una web legtima comprometida para infectarse, sin nece-
sidad de descargar ni ejecutar ningn fichero) y lo pusieron en prctica.

20 21
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE

Durante los ltimos meses se han utilizado diversos kits de exploits. Angler Exploit Kit y Magnitude Kit son 5. Ransomware en otros sistemas
algunos de los utilizados con mayor frecuencia. Adems de infectar a sus vctimas, estos kits pueden ser con-
trolados remotamente, pasando los equipos infectados a formar parte de una botnet.

5.1 Android:
Cifrado y pago del rescate
Si hubiera que destacar algo en particular de la evolucin del ransomware durante los ltimos meses, sera la
Cuando un usuario resulta infectado por Cryptowall resulta prcticamente imposible que no se d cuenta de rpida adaptacin a la plataforma Android.
la infeccin. Nada ms infectarse, se mostrar un mensaje alertando de la misma y avisando al usuario de que
sus ficheros han sido cifrados y que debe seguir una serie de instrucciones para recuperarlos. En realidad, el La estrategia es comprensible, han adaptado su modelo de negocio, ya que los usuarios utilizan ms sus disposi-
cifrado empieza una vez se ha mostrado este mensaje, cuando ya se ha establecido una comunicacin entre tivos mviles que sus ordenadores.
el ordenador de la vctima y el servidor que utiliza el atacante para controlar todos los sistemas infectados.
Si analizamos alguna de las primeras muestras que recibimos en nuestros laboratorios durante el mes de mayo
En esta comunicacin se enva la clave pblica nica para cada caso, utilizada para cifrar los datos. Cryptowall de 2014, observamos como estas ya presentan un avanzado desarrollo e incorporan algunas de las caractersti-
empieza a cifrar la informacin almacenada en el disco pasando por varias unidades, una tras otra, exceptuan- cas del ransomware que ya hemos comentado.
do aquellas que sean unidades de sistemas de almacenamiento pticos como CDs o DVDs. El ransomware
excluye ciertas carpetas para asegurarse de que el sistema sigue funcionando y el usuario puede leer sus men-
sajes.

Tambin se le proporciona a la vctima una serie de enlaces a travs de una pasarela a la red Tor, para as difi-
cultar el rastreo de los delincuentes. La web con instrucciones que aparece en las versiones ms recientes es
similar a la que se muestra a continuacin:

Respecto a la forma de pago, Cryptowall ha utiliza-

do muchas diferentes durante el tiempo que lleva
activo. Comenz aceptando tarjetas prepago como
Ukash, MoneyPack o Paysafecard y posteriormente
criptomonedas como Bitcoin o incluso Litecoin. Esta
es una tendencia similar a la que han tenido otras
familias de Ransomware como Cryptolocker o CTB-
Lockery, pensada para dificultar el rastreo del dinero
pagado como rescate.

Respecto a la cantidad solicitada, actualmente se

suelen pedir 500 dlares, aunque se han detectado
casos en los que la vctima ha llegado a pagar varios
miles de dlares para recuperar su informacin. Se-
guramente, el delincuente supo, tras una primera Esta primera variante tan solo bloqueaba el dispositivo con el conocido aviso supuestamente emitido por la Po-
comunicacin con la vctima, cmo de importantes lica Nacional, pero no cifraba los ficheros almacenados en el mvil.
eran los datos para sta y se aprovech de ello pidin-
dole una cantidad superior.
Simplocker

Simplocker fue el primer ejemplo de ransomware en Android. Simplocker. Adems de bloquear el dispositivo,
cifraba su contenido.

En la siguiente imagen podemos observar un caso de ransomware para Android detectado en Ucrania. Vemos
el mensaje (y su traduccin) que apareca en la pantalla de bloqueo y los ficheros del dispositivo cifrados y con la
extensin .enc.

22 23
ESET / WHITEPAPER 2015 / RANSOMWARE ESET / WHITEPAPER 2015 / RANSOMWARE

El cambio ms importante en el cifrado fue la inclusin de formatos de ficheros comprimidos como ZIP, 7z y RAR.
El ransomware peda permisos de administrador para ser instalado en el dispositivo, camuflando como aplica-
ciones aparentemente inofensivas y conseguan que el usuario lo instalara sin levantar sospechas. En esta otra muestra estaba la pantalla de bloqueo en esta ocasin estaba en espaol y suplantaba a Europol,
mostrando un mensaje en el que se le acusaba al usuario de haber cometido supuestos delitos as como la nece-
En verano se extendi otro tipo de ransomware para Android (policial sin cifrado de ficheros). Utilizaba los servi- sidad del pago de una multa para no ser llevado a juicio.
cios de publicidad incrustada en algunas pginas web (incluyendo algunos peridicos digitales con millones de
visitas diarias) para propagar nuevas variantes.

En esta variante se siguen suplantando aplicaciones de

confianza, (incluyendo incluso alguna firma de antivirus)
para hacer que los usuarios aceptaran los permisos que pe-
da el ransomware y lograr el control del sistema.
PornDroid
Una de las ltimas muestras de malware detectadas para Android es la conocida como PornDroid. Esta muestra
usa una de las tcnicas ms desagradables (tambin utilizada con anterioridad en sistemas Windows), que con-
siste en mostrar imgenes de pornografa infantil en el dispositivo del usuario. A continuacin, se les muestra
una pantalla de bloqueo del FBI acusando al usuario de haber descargado y visualizado estas imgenes.

En esta ocasin, la cantidad demandada es de 500$ y se vuelve a mostrar todos los sistemas de pago recomenda-
dos por los delincuentes para realizar esta transferencia. Otro dato interesante es que las variantes ms moder-
nas de PornDroid tambin permiten al delincuente gestionar los dispositivos infectados a travs de una botnet.

24 25
ESET / WHITEPAPER 2015 / RANSOMWARE
5.2 Mac OS
La presencia de malware en el sistema operativo de Apple ha sido ms anecdtica que otra cosa. No obstante,
no debemos menospreciar estos intentos de los delincuentes por obtener beneficios de los usuarios de Mac OS.
De hecho, son unas vctimas potenciales muy interesantes.
A da de hoy, la nica variante de ransomware para Mac OS que merece ser destacada fue la analizada a media-
dos de 2013. No afectaba al sistema operativo en s, sino al navegador Safari, lo cual limita bastante su xito. No
obstante, puede tratarse de una prueba de concepto para tantear el terreno y desarrollar amenazas ms avan-
zadas en el futuro.
El aspecto ms avanzado de esta variante es que dificulta al usuario el acceso al navegador. Normalmente se
muestra una serie de ventanas con mensajes amenazantes como los que vemos a continuacin, los cuales im-
piden reiniciar Safari.
26
ESET / WHITEPAPER 2015 / RANSOMWARE
En el caso de que el usuario opte por matar el proceso de Safari, la configuracin por defecto del navegador vol-
ver a cargar la web maliciosa, volvindose a repetir el mismo proceso. No obstante, este bucle puede cerrarse si
el usuario opta por restaurar Safari, con lo que desactivar la molesta ventana. Perder datos como el historial
de navegacin o las contraseas almacenadas.
6. Cmo evitar una infeccin por ransomware?
Debido a que las variantes recientes de ransomware no permiten la recuperacin de los ficheros cifrados siguien-
do ningn mtodo (salvo contadas excepciones), la mejor arma de la que disponen los usuarios y empresas fren-
te al ransomware es la prevencin. Una vez cifrados los archivos es muy difcil volver a recuperarlos. Por ello,
desde ESET Espaa proponemos esta serie de consejos:
Mantener actualizados los sistemas operativos, navegadores y aplicacionespara evitar que el ran-
somware pueda aprovechar agujeros de seguridad y se distribuya de forma masiva.
Evitar abrir correos sospechososno solicitados.Tanto si proceden de usuarios conocidos como desco-
nocidos es recomendable asegurarse de que la persona que ha enviado el correo realmente quera remitir
ese fichero adjunto o enlace.
Tener cuidado con absolutamente todos losarchivos adjuntos a un email o descargados desde un en-
lace, especialmente aquellos que vienen comprimidos en formato zip. Incluso los archivos aparentemente
inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un malware, por lo que es
mejor ser precavido.
Habilitar la funcin que ofrecen la mayora de los clientes de correo electrnico dehacer visibles
todas las extensiones de los archivos adjuntos recibidos. El objetivo es saber exactamente qu tipo de ar-
chivo se nos ha enviado.
Disponer como mnimo de doscopias de seguridad actualizadasy cada una de ellas alojada en una
ubicacin diferente a la otra.
Utilizar herramientas especializadas (como Anti Ransom o CryptoPrevent) para recibir alertas en
caso de que un ransomware empiece a cifrar archivos, e incluso para evitar el cifrado de cierto tipo de fi-
cheros en ubicaciones determinadas.
27
ESET / WHITEPAPER 2015 / RANSOMWARE

7. Conclusin

A lo largo de este anlisis hemos visto cmo el ransomware ha pasado de ser algo anecdtico a una seria amena-
za que reporta importantes beneficios a los delincuentes.

El uso de tcnicas cada vez ms innovadoras para asegurar una mayor propagacin y su persistencia, junto a la
utilizacin de algoritmos de cifrados robustos (que hacen prcticamente imposible el descifrado de los ficheros
afectados usando tcnicas de fuerza bruta), demuestra que los delincuentes seguirn apostando por este tipo
de amenazas a corto plazo.

Por parte de los usuarios, la experiencia ha demostrado que la prevencin es la medida de seguridad ms efectiva
contra el ransomware. Contar con copias de seguridad actualizadas, mantener el sistema actualizado y prote-
gido, y no confiar en aplicaciones descargadas de webs no oficiales son las mejores medidas de proteccin para
evitar el secuestro de nuestros datos y la prdida de importante informacin privada.

@eset_es fb.com/Eset.Espana

28