Ransomware

Ir a la navegaci�nIr a la b�squeda

Este art�culo o secci�n necesita una revisi�n de ortograf�a y gram�tica.

Puedes colaborar edit�ndolo. Cuando se haya corregido, puedes borrar este aviso. Si
has iniciado sesi�n, puedes ayudarte del corrector ortogr�fico, activ�ndolo en: Mis
preferencias ? Accesorios ? Navegaci�n ? Check mark.png El corrector ortogr�fico
resalta errores ortogr�ficos con un fondo rojo. Este aviso fue puesto el 3 de
febrero de 2017.
Un ransomware (del ingl�s ransom, �rescate�, y ware, acortamiento de software) o
"secuestro de datos" en espa�ol, es un tipo de programa da�ino que restringe el
acceso a determinadas partes o archivos del sistema operativo infectado, y pide un
rescate a cambio de quitar esta restricci�n.1? Algunos tipos de ransomware cifran
los archivos del sistema operativo inutilizando el dispositivo y coaccionando al
usuario a pagar el rescate. Se han propuesto algunas alternativas en espa�ol al
t�rmino en ingl�s, como programa de secuestro, secuestrador, programa de chantaje o
chantajista.2?

Aunque los ataques se han hecho populares desde mediados de la d�cada del 2010, el
primer ataque conocido fue realizado a finales de los 80 por el Dr. Joseph Popp.3?
Su uso creci� internacionalmente en junio del 2013. La empresa McAfee se�al� en
2013 que solamente en el primer trimestre hab�a detectado m�s de 250 000 tipos de
ransomware �nicos.4?

�ndice
1 M�todos de propagaci�n
2 �C�mo act�a?
3 Ataques ransomware m�s conocidos
3.1 Petya
3.2 Reveton
3.3 CryptoLocker
3.4 CryptoLocker.F y TorrentLocker
3.5 CryptoWall
3.6 TeslaCrypt
3.7 Mamba
3.8 WannaCry
4 Mitigaci�n
5 V�ase tambi�n
6 Referencias
7 Enlaces externos
M�todos de propagaci�n
Normalmente un ransomware se transmite como un troyano o como un gusano, infectando
el sistema operativo, por ejemplo, con un archivo descargado o explotando una
vulnerabilidad de software. En este punto, el ransomware se iniciar�, cifrar� los
archivos del usuario con una determinada clave, que solo el creador del ransomware
conoce, e instar� al usuario a que la reclame a cambio de un pago.

�C�mo act�a?
El atacante camufla el c�digo malicioso dentro de otro archivo o programa
apetecible para el usuario que invite a hacer clic. Algunos ejemplos de estos
camuflajes ser�an:

Archivos adjuntos en correos electr�nicos.

V�deos de p�ginas de dudoso origen.
Actualizaciones de sistemas.
Programas, en principio, fiables como Windows o Adobe Flash.
Luego, una vez que ha penetrado en el ordenador, el ransomware se activa y provoca
el bloqueo de todo el sistema operativo, lanza el mensaje de advertencia con la
amenaza y el importe del rescate que se ha de pagar para recuperar toda la
informaci�n. Adem�s, en ocasiones incluyen en la amenaza la direcci�n IP, la
compa��a proveedora de Internet y hasta una fotograf�a captada desde la c�mara web.

Ataques ransomware m�s conocidos

Petya
Creado y descubierto en 2016

En 2017 comenz� un ciberataque mundial(Las compa��as ucranianas fueron los primeros

en decir que estaban siendo atacadas), utilizando una nueva variante de Petya. en
ese d�a Kaspersky Lab inform� de las infecciones en Francia, Alemania, Italia,
Polonia, Reino Unido y Estados Unidos, pero que la mayor�a de las infecciones se
dirigieron a Rusia y Ucrania, donde m�s de 80 empresas fueron atacadas, incluyendo
el Banco Nacional de Ucrania.

Mas informaci�n aqu�

Reveton
En 2012 se comenz� a distribuir un ransomware llamado "Reveton". Estaba basado en
el troyano Citadel, el cual estaba a su vez basado en el troyano Zeus. Su
funcionamiento se basa en desplegar un mensaje perteneciente a una agencia de la
ley, preferentemente correspondiente al pa�s donde reside la v�ctima. Por este
funcionamiento se lo comenz� a nombrar como "Trojan cop", o "polic�a troyano",
debido a que alegaba que el computador hab�a sido utilizado para actividades
il�citas, tales como descargar software pirata o pornograf�a infantil. El troyano
muestra una advertencia informando que el sistema fue bloqueado por infringir la
ley y de ese modo deber� pagar una fianza para poder liberarlo, mediante el pago a
una cuenta an�nima como puede ser Ukash o Paysafecard.[cita requerida]

Para hacer creer a la v�ctima que su computador est� siendo rastreado por la ley,
se muestra la direcci�n IP del computador en pantalla, adem�s se puede mostrar
material de archivo y simular que la c�mara web est� filmando a la v�ctima.

A principios del a�o 2012 comenz� su expansi�n por varios pa�ses de Europa; seg�n
el pa�s, podr�a variar el logo referente a las Fuerzas de la Ley correspondientes.
Por ejemplo, en el Reino Unido, conten�a el logo del Servicio de Polic�a
Metropolitana. Debido a estos sucesos, la Polic�a Metropolitana envi� un comunicado
informando que bajo ning�n concepto ellos bloquear�an un computador ni siquiera
como parte de una investigaci�n.

En mayo de 2012, Trend Micro descubri� las variaciones de este malware para los
Estados Unidos y Canad�, sospechando que los autores planeaban expandirlo a Am�rica
del Norte. En agosto de 2012, se comenz� a utilizar el logo del FBI para reclamar
una fianza de 200 d�lares a los propietarios de computadores infectados, a pagar
mediante una tarjeta de aMoneyPak. En febrero de 2013, un ciudadano ruso fue
arrestado en Dub�i por autoridades espa�olas debido a su conexi�n con la red
criminal que hab�a estado usando Reveton, al cual se sumaron otras diez personas
con cargos por lavado de dinero.

En agosto de 2014, Avast report� nuevas variantes de Reveton, donde se distribu�a

software malicioso con el fin de robar contrase�as.[cita requerida]

CryptoLocker
Art�culo principal: CryptoLocker
En septiembre de 2013 hizo su reaparici�n el ransomware basado en el cifrado de
archivos tambi�n conocido como CryptoLocker, el cual genera un par de claves de
2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de
un tipo de extensi�n espec�fica. El virus elimina la clave privada a trav�s del
pago de un bitcoin o un bono prepago en efectivo dentro de los tres d�as tras la
infecci�n. Debido al largo de la clave utilizada, se considera que es
extremadamente dif�cil reparar la infecci�n de un sistema.

En caso de que el pago se retrase m�s all� de los tres d�as, el precio se
incrementa a 10 bitcoins, lo que equival�a, aproximadamente, a 2300 d�lares, en
noviembre de 2013.

CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS, tal como fue
anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2
de junio de 2014.

El Departamento de Justicia emiti� una acusaci�n en contra del ciberdelincuente

ruso Evgeniy Bogachev (??????? ???????) alegando su participaci�n en la red
GameoverZeuS. Se estima que consigui� al menos tres millones de d�lares hasta que
el malware fue desactivado.

CryptoLocker.F y TorrentLocker
En septiembre de 2014, una ola de ransomware lleg� a sus primeros objetivos en
Australia, denominados "CryptoWall" y "CryptoLocker". Las infecciones se propagaban
a trav�s de una cuenta de correo australiana falsa, la cual enviaba un correo
electr�nico notificando entregas fallidas de paquetes.5? De este modo evitaba los
filtros antispam y consegu�a llegar a los destinatarios. Esta variante requer�a que
los usuarios ingresaran en una p�gina web y, previa comprobaci�n mediante un c�digo
CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta
manera se evit� que procesos autom�ticos puedan escanear el malware en el correo o
en los enlaces insertados.5?

Symantec determin� la aparici�n de nuevas variantes conocidas como

CryptoLocker.F,6? el cual no ten�a ninguna relaci�n al original debido a sus
diferencias en el funcionamiento.

TorrentLocker es otro tipo de infecci�n con un defecto, ya que usaba el mismo flujo
de claves para cada uno de los computadores que infectaba, el cifrado pas� a ser
trivial pero antes de descubrirse ya hab�an sido 9000 los infectados en Australia y
11 700 en Turqu�a.7?

CryptoWall
CryptoWall es una variedad de ransomware que surgi� a principios de 2014 bajo el
nombre de CryptoDefense dirigida a los sistemas operativos Microsoft Windows. Se
propaga a trav�s del correo electr�nico con suplantaci�n de identidad, en el cual
se utiliza software de explotaci�n como Fiesta o Magnitud para tomar el control del
sistema, cifrar archivos y as� pedir el pago del rescate del computador. El rango
de precios se encuentra entre los 500 y 1000 d�lares.

En marzo de 2014, Jos� Vildoza, un programador argentino, desarroll� una

herramienta para recuperar los archivos de las v�ctimas de manera gratuita. La
recuperaci�n de archivos fue posible gracias a una falla en el programa malicioso
por el cual las claves de cifrado quedaban guardadas en el equipo afectado.8?9?

Cuando los autores se percataron del error, actualizaron el criptovirus nombr�ndolo

CryptoWall, pasando luego por distintas actualizaciones hasta llegar a la versi�n
3.0.

CryptoWall 3.0 ha sido reportado desde enero de 2015 como una infecci�n que surge
donde hackers rusos se encuentran detr�s de esta extorsi�n.

TeslaCrypt
TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave
maestra para el descifrado de los ficheros atacados es p�blica. Existe una
herramienta gratuita de la empresa ESET que permite realizar este trabajo.10?

Mamba
Un grupo de investigadores de seguridad de Brasil, llamado Morphus Labs, acaba de
descubrir un nuevo ransomware de cifrado de disco completo (FDE - Full Disk
Encryption) esta misma semana, llamado "Mamba". Mamba, como lo llamaron, utiliza
una estrategia de cifrado a nivel de disco en lugar de uno basado en archivos
convencionales. Para obtener la clave de descifrado, es necesario ponerse en
contacto con alguien a trav�s de la direcci�n de correo electr�nico proporcionada.
Sin eso, el sistema no arranca.

El ransomware Mamba se ha identificado el 7 de septiembre 2017 durante un

procedimiento de respuesta a incidentes por parte de Renato Marinho, un experto en
seguridad de Morphus laboratorios. Esta amenaza de malware utiliza el cifrado a
nivel de disco que causa mucho m�s da�o que los ataques basados en archivos
individuales. Los desarrolladores criminales han utilizado el DiskCryptor para
cifrar la informaci�n., una herramienta de c�digo abierto.

Se hizo una comparaci�n con el virus Petya que tambi�n utiliza disco cifrado. Sin
embargo, Petya cifra solamente la tabla maestra de archivos (MFT) con lo que no
afectan a los datos en s�.

Tras la exitosa infiltraci�n, Mamba crea su carpeta titulada DC22 en la unidad C

del equipo donde coloca sus archivos binarios. Un servicio del sistema se crea y
alberga el proceso del ransomware. Un nuevo usuario llamado MythBusters se crea
asociado con la contrase�a 123456.

Tambi�n sobrescribe el registro de inicio maestro (MBR) del disco del sistema que
contiene el gestor de arranque para el sistema operativo. Esto proh�be
efectivamente al usuario de incluso cargar el sistema operativo sin ingresar el
c�digo de descifrado.

WannaCry
Art�culo principal: WannaCry
WanaCrypt0r o tambi�n conocido como "WannaCry" es un ransomware "activo" que
apareci� el 12 de mayo de 2017 con origen en el arsenal estadounidense de malware
Vault 7 revelado por Wikileaks pocas semanas antes, el c�digo malicioso ataca una
vulnerabilidad descrita en el bolet�n MS17-010 en sistemas Windows que no est�n
actualizados de una manera adecuada. Provoc� el cifrado de datos en m�s de 75 mil
ordenadores por todo el mundo afectando, entre otros, a:

Rusia: red semaf�rica, metro e incluso el Ministerio del Interior;

Reino Unido: gran parte de los centros hospitalarios;
Estados Unidos;
Espa�a: empresas tales como Telef�nica, Gas Natural e Iberdrola.
El ransomware cifra los datos que, para poder recuperarse, pide que se pague una
cantidad determinada, en un tiempo determinado. Si el pago no se hace en el tiempo
determinado, el usuario no podr� tener acceso a los datos cifrados por la
infecci�n. WannaCry se ha ido expandiendo por Estados Unidos, China, Rusia, Italia,
Taiw�n, Reino Unido y Espa�a, al igual de que se se�ala que los sistemas operativos
m�s vulnerables ante el ransomware son Windows Vista, Windows 7, Windows Server
2012, Windows 10 y Windows Server 2016.

Un ordenador infectado que se conecte a una red puede contagiar el ransomware a

otros dispositivos conectados a la misma, pudiendo infectar a dispositivos m�viles.
A su inicio, WanaCrypt0r comienza a cifrar los archivos de la v�ctima de una manera
muy r�pida.

Afortunadamente en la actualidad se pudo detener su expansi�n gracias a un

programador de Reino Unido, autor del blog MalwareTechBlog.11?12?

Mitigaci�n
Al igual que ocurre con otras formas de malware, los programas de seguridad puede
que no detecten la carga �til (payload) de un programa ransomware hasta que el
cifrado de archivos est� en proceso o ha concluido, especialmente si se distribuye
una nueva versi�n desconocida para el antivirus.13? Si un ataque se detecta de
manera temprana, se puede eliminar de manera sencilla sin darle tiempo de comenzar
el proceso de cifrado.14?15?

Expertos en seguridad inform�tica han sugerido medidas preventivas para hacer

frente al ransomware. Usar software o pol�ticas de seguridad para bloquear cargas
�tiles conocidas ayudar� a prevenir las infecciones, pero no proteger� contra
cualquier ataque. Mantener copias de seguridad offline en lugares inaccesibles para
el ordenador infectado, como por ejemplo discos duros externos, evita que el
ransomware acceda a ellas, lo que ayuda a restaurar los datos en caso de
infecci�n.16?17?Sin embargo, la prevenci�n puede requerir altos recursos
financieros y humanos a nivel empresarial.18?

Expertos en seguridad tambi�n han se�alado que las pobres pr�cticas de

administraci�n de informaci�n es una causa importante del grave impacto de
ransomware,19? y recomiendan entre otras medidas disminuir el uso de software
pirata o no legal.20?

V�ase tambi�n
Malware
CryptoLocker
Petya
RedEye
Referencias
�Virus: Ransomware bitcoins y m�viles�. definici�n. Archivado desde el original el
21 de febrero de 2014. Consultado el 21 de enero de 2013.
�programa maligno, mejor que malware�. Consultado el 7 de agosto de 2018.
�A History of Ransomware Attacks: The Biggest and Worst Ransomware Attacks of All
Time�. Digital Guardian. 21 de marzo de 2017. Consultado el 3 de octubre de 2017.
�McAfee: Cyber criminals using Android malware and ransomware the most�.
InfoWorld. Consultado el 16 de septiembre de 2013.
�Virus targets Australians via fake Australia Post emails�. ABC News (en ingl�s
australiano). 7 de octubre de 2014. Consultado el 3 de octubre de 2017.
�Cryptolocker: A Thriving Menace�. Symantec Security Response. Consultado el 3 de
octubre de 2017.
�Over 9,000 PCs in Australia infected by TorrentLocker ransomware�. Consultado el
3 de octubre de 2017.
�Stung by file-encrypting malware, researchers fight back�. Stung by file-
encrypting malware, researchers fight back (en ingl�s) (PC World).
�Tucumano salva al mundo de un virus ruso�. Tucumano salva al mundo de un virus
ruso (Vo-Ve Noticias).
Herramienta para el descifrado de ficheros atacados por TeslaCrypt.
�How to Accidentally Stop a Global Cyber Attacks�. malwaretech.
�How an Accidental �Kill Switch� Slowed Friday�s Massive Ransomware Attack�.
www.wired.com.
�Yuma Sun weathers malware attack�. Yuma Sun. Consultado el 18 de agosto de 2014.
Cannell, Joshua. �Cryptolocker Ransomware: What You Need To Know, last updated
06/02/2014�. Malwarebytes Unpacked. Consultado el 19 de octubre de 2013.
Leyden, Josh. �Fiendish CryptoLocker ransomware: Whatever you do, don't PAY�. The
Register. Consultado el 18 de octubre de 2013.
�You�re infected�if you want to see your data again, pay us $300 in Bitcoins�. Ars
Technica. Consultado el 23 de octubre de 2013.
�Cryptolocker Infections on the Rise; US-CERT Issues Warning�. SecurityWeek. 19 de
noviembre de 2013. Consultado el 18 de enero de 2014.
�Ransomware. �Por qu� es tan dif�cil de combatir?�. www.usuariomalicioso.com.
Consultado el 3 de octubre de 2017.
�Responsabilidad compartida�. www.usuariomalicioso.com. Consultado el 3 de octubre
de 2017.
�Chile entre los pa�ses latinoamericanos con menos pirater�a en software�.
innovacion.cl. Consultado el 3 de octubre de 2017.
Enlaces externos
N�stor Parrondo, La estafa del correo electr�nico de Correos: si picas, tu
ordenador quedar� inutilizado, sitio digital 'Yahoo', 30 de marzo de 2015.
Asociaci�n Nacional Afectados Internet y Nuevas Tecnolog�as, Ayudan a recuperar tu
dinero estafado.
http://bestsecuritysearch.com/mamba-ransomware-discovered/, Blog de seguridad
Servicio p�blico y gratuito antiransomware de INCIBE, Ayudan a descifrar la
informaci�n e informan sobre medidas de prevenci�n para no verse afectado.
Copias de seguridad contra el Ransomware Gu�a para proteger tus copias de seguridad
contra ataques de ransomware
Categor�as: Ataques criptogr�ficosMalware