Qué es el ransomware: cómo funciona y cómo eliminarlo
Qué es ransomware?
Ransomware es una pieza de software malicioso que cifra el importante almacenado de los usuarios dentro de sus sistemas. El motivo de los atacantes es extorsionar dinero ilícito de los usuarios victimizados. Y por lo tanto, poco después de la encriptación de datos exitosa, un cripto-virus exige una gran cantidad de rescate de las víctimas con el fin de obtener el software de descifrado y recuperar el acceso a los archivos bloqueados. Malware deja caer una nota de rescate en cada carpeta afectada que incluye instrucciones sobre cómo pagar la cuota exigida para obtener el descifrador requerido. La cantidad del rescate puede variar de unos pocos cientos de dólares a miles que generalmente se pagan en criptomoneda como BitCoins u otros.
Cómo funciona un ransomware?
Un malware de codificación de archivos puede entrar en los equipos de destino a través de varias técnicas engañosas. Sin embargo, el método de entrega más común es la campaña de correo electrónico de spam. En esta campaña, los hackers envían una serie de correos electrónicos engañosos a los usuarios que a menudo se disfrazan de “importantes”, “oficiales” o procedentes de una empresa o institución popular.
Sin embargo, estos correos incluyen archivos adjuntos maliciosos que están en varios formularios como Microsoft Office o documentos PDF, archivos ejecutables, lo logra así. Tan pronto como se abren, ejecutar o ejecutar de otra manera, comienzan el proceso de infección de cripto-virus. Estos archivos adjuntos pueden hacerse cargo de los dispositivos de las víctimas, especialmente si tienen herramientas de ingeniería social incorporadas que engañan a los usuarios para permitir el acceso administrativo. Algún otro tipo más peligroso de ransomware explotar objetivos de seguridad a los equipos infectados sin necesidad de la aprobación de los usuarios.
Una vez que un ransomware entra en el ordenador objetivo, puede hacer varias cosas amoung que, la acción más común es bloquear algunos o todos los datos de los usuarios. Después de eso, los archivos comprometidos no se pueden descifrar sin una clave única (matemática) que sólo los atacantes pueden proporcionar. Las personas afectadas se presentan con un mensaje que explica que sus archivos son ahora inaccesibles y sólo se desbloqueará si las víctimas transfieren un pago BitCoin imposible de rastrear a la dirección crypto-wallet de los delincuentes.
A veces, los piratas informáticos podrían pretender ser una agencia de aplicación de la ley que cierra el dispositivo de las víctimas debido a la presencia de pornografía o software pirata en él y luego exigir la extorsión como “bien”, por lo que las víctimas no consideran informar del ataque a las autoridades. En algunos casos, los delincuentes intimidan a dar a conocer los datos importantes si no se paga el rescate exigido. Pero, el cifrado de datos es, con mucho, la técnica más común para intentar extorsionar dinero de las personas victimizadas.
Quién es el objetivo de un ransomware?
Los ciberdelincuentes eligen las organizaciones con diferentes formas de atacar con cripto-virus. A veces, pueden dirigirse a las universidades porque a menudo tienen equipos de seguridad más pequeños y una base de usuarios desesperada que hace varios intercambio de archivos que hace que el virus sea más fácil de obtener acceso a sus defensas. Además, organizaciones como agencias gubernamentales o instalaciones médicas generalmente necesitan acceso inmediato a sus archivos y por lo tanto, son objetivos persuasivos de los desarrolladores ransomware. Los bufetes de abogados y las organizaciones que tienen datos confidenciales pueden estar ansiosos por hacer el pago exigido para mantener la noticia de un compromiso tranquilo. Estas empresas pueden ser individualmente sensibles a los ataques de filtros. Sin embargo, incluso si usted no pertenece a una de esas categorías, todavía puede ser víctima de un cripto-malware ya que algunos de estos virus se propagan de forma automática y arbitraria a través de la web.
Cómo prevenir los ataques ransomware
Para evitar el riesgo de ser infectado con un malware de cifrado de archivos, puede aplicar varios pasos defensivos. Estos pasos son buenas prácticas de seguridad en común, por lo que debe seguirlos para mejorar sus defensas de todo tipo de ataques:
- No instale software ni deje que tome privilegios administrativos a menos que sepa claramente acerca de sus funcionalidades.
- Mantenga su sistema operativo parcheado y actualizado para asegurarse de que tiene menos exposición a explotar.
Mantenga la copia de seguridad de sus archivos de forma constante y automática! Las copias de seguridad no se detendrán de los ataques ransomware, pero puede hacer que el daño sea menos significativo, ya que más adelante puede restaurar los datos infectados utilizando esto después de deshacerse del virus.
Cómo quitar ransomware
Si su PC está infectado con una especie de amenaza de codificación de archivos, es necesario recuperar el acceso a la estación de trabajo. Los pasos que se indican a continuación te ayudarán a recuperar el control de tu dispositivo Windows 10:
- Reinicie Windows 10 en modo seguro
- Instalar software antimalware
- Escanear el dispositivo para encontrar el programa ransomware
- Restaurar el PC a un estado anterior
Al pasar por estos pasos, es importante tener en cuenta que estos pasos pueden terminar el virus desde el equipo y restaurar su control, no descifrará los datos cifrados. Su transformación en no heladidad ya ha tenido lugar, y si los datos han sido bloqueados con un algoritmo sofisticado, será matemáticamente imposible para las víctimas decodificarlos sin tener una clave única que sólo los atacantes pueden proporcionar. De hecho, mediante la eliminación del virus, que ha terminado la posibilidad de hacer el pago a los piratas informáticos para restaurar los datos bloqueados.
Hechos y figuras de ransomware:
Crypto-virus es una gran fuente de ingresos para los delincuentes cibernéticos. Hay mucho dinero en él y el mercado se ha expandido rápidamente desde el comienzo de la década. En 2017, cripto-virus causó $5 mil millones de pérdidas, tanto en términos de extorsión pagada y gasto y pérdida de tiempo en la recuperación de los ataques. Eso es hasta 15 veces desde 2015. En el primer trimestre de 2018, sólo una infección ransomware, SamSam, reunió un $1 millón en dinero del rescate.
Algunos mercados son principalmente propensos a los cripto-virus y a pagar la tarifa exigida. Muchos ataques ransomware de gran nivel han tenido lugar en hospitales u otras organizaciones médicas que hacen objetivos tentadores: los atacantes tienen idea de eso. Estas organizaciones son más pareciles a hacer el pago para deshacerse del problema. Según estimaciones, el 45 por ciento de los ataques ransomware se dirigen a organizaciones de atención médica y, por igual, que el 85 por ciento de las infecciones de malware en las organizaciones de atención médica son virus de cifrado de archivos. El sector de los servicios financieros es otra industria persuasiva, que es, como Willie Sutton señaló famosamente, donde está el dinero. Se espera que el 90 por ciento de las instituciones financieras fueron blanco de un ataque ransomware en 2017.
El ransomware está rechazando?
De varias maneras, es una decisión económica basada en la moneda de elección de los atacantes: bitcoin. Extraer una suma de pago de una víctima siempre ha sido golpeado o perdido; podrían no tomar una decisión de pagar, o incluso si quieren, es posible que no estén lo suficientemente familiarizados con bitcoin para averiguar cómo hacerlo realmente.
La disminución en cripto-malware ha sido igualado por un incremento en el llamado virus cryptomining que infecta los PC y utiliza su poder de computación para extraer criptomoneda bitcoin sin dejar que el propietario sepa. Esta es una ruta precisa para emplear los recursos de los usuarios para obtener bitcoin que evade la mayoría de los problemas en la puntuación de un rescate, y sólo se ha vuelto más llamativo como un ciberataque como un ciberataque como el precio del bitcoin se disparó a finales de 2017.
Sin embargo, eso no significa que el riesgo haya terminado. los atacantes de cripto-virus son de dos tipos: ataques “commodity” que tratan de comprometer los dispositivos arbitrariamente por gran volumen y comprenden el llamado “ransomware como un servicio: plataformas que los hackers pueden alquilar; y grupos específicos que se centran principalmente en segmentos de mercado y empresas principalmente indefensos. Usted necesita estar en defensa si usted pertenece a una organización, no importa si el gran ataque ransomware ha ocurrido.
El precio de la reducción de bitcoins a partir de 2018 y el análisis costo-beneficio para los delincuentes podrían retroceder. Al final, el uso de virus de cifrado de archivos o malware cryptomining es una decisión empresarial para los atacantes, dice Steve Grobman, director de tecnología de McAfee. “A medida que los precios de las criptomonedas caen, es natural ver un cambio de nuevo [a ransomware].”
Debería hacer el pago?
Si su ordenador ha sido atacado por un ransomware y usted ha perdido todos sus archivos y documentos importantes y ni siquiera tiene una copia de seguridad adecuada, la gran pregunta es, ¿debe pagar el rescate?
En general, las agencias policiales le niegan hacer el pago a los atacantes. Y la razón detrás de esto es que sólo les convencerá de crear más virus de este tipo y causar más ataques para obtener más ingresos. Un número de organizaciones que fueron atacados por un cripto-malware rápidamente dejar de pensar en términos de “mayor bien” y empezar a hacer un estudio costo-beneficio, la medición del precio del rescate contra el valor de los datos bloqueados. Según la investigación de Trend Micro, mientras que el 66 por ciento de las empresas no están de acuerdo en hacer el pago como un punto de principio, en la práctica 65 por ciento en realidad pagan el rescate cuando son atacados.
Los atacantes ransomware mantienen los precios comparativamente bajos- a menudo entre $200 y $1500, Esta es una cantidad que las empresas generalmente pueden permitirse pagar a corto plazo. Algunos virus particularmente sofisticados detectará el país donde se ejecuta el PC comprometido y ajustar el rescate para que coincida con la economía de su nación. Los ladrones a menudo exigen menos a las empresas de los países pobres y más a las empresas de las regiones ricas.
Los hackers también ofrecen descuentos para hacer el pago dentro del tiempo dado como para persuadir a los usuarios victimizados a pagar rápidamente antes de pensar demasiado en ello. Comúnmente, el punto de premio se fija tan alto como para valer la pena los atacantes, pero lo suficientemente bajo como para que a menudo sea más barato que lo que la persona afectada tendría que pagar para recuperar sus archivos. Con esto en mente, algunas empresas están empezando a construir el requisito potencial de pagar un rescate en sus planes de seguridad: por ejemplo, algunas grandes empresas del Reino Unido que no están involucrados con criptomonedas están sosteniendo algo de Bitcoin en reserva particularmente para los pagos de rescate.
Un par de cosas deben ser recordados aquí, las personas que está tratando con son los delincuentes cibernéticos. En primer lugar, esa amenaza que parece un cripto-virus puede no haber codificado su archivo en absoluto. Estos se llaman “scareware”. Asegúrese de no tratar con dicho parásito antes de hacer el pago a nadie. Y en segundo lugar, pagar la extorsión a los criminales no garantiza que obtendrá sus archivos de nuevo. Los delincuentes a menudo toman el dinero y luego desaparecen sin proporcionar el descifrador funcional, que incluso no han construido ninguna herramienta de descifrado para el malware en particular.
Ejemplos de ransomware
Virus de cifrado de archivos ha existido generalmente desde los años 90, sin embargo, es principalmente en uso durante los últimos cinco años más o menos, principalmente debido a la disponibilidad de métodos de pago imposibles de rastrear como Bitcoin. Algunos de los cripto-malware más peligrosos han sido:
- WannaCry- Se propaga de forma autónoma de PC a PC utilizando EternalBlue, un exploit creado por la NSA y luego robado por los delincuentes cibernéticos.
- Locky- Comenzó a propagarse en 2016 y era “similar en su modo de ataque al precario software bancario Dridex.” Una de las variantes de esta amenaza, Osiris, se extendió a través de campañas de phishing.
- GandCrab- Es uno de los ransomware más lucrativos nunca. Sus creadores, que vendieron el programa a los ciberdelincuentes, reclaman más de $2 mil millones en pagos de víctimas a partir de julio de 2019.
- NotPetya- También se emplea como EnternalBlue y puede tener una parte de un ciberataque dirigido por Rusia contra Ucrania.
- CryptoLocker- Fue utilizado para el ataque en 2013, lanzó la edad de cryptovirus moderno e infectado hasta 500.000 sistemas en su apogeo.
- RobbinHood- Es otra variante eternalBlue que apuntó a la ciudad de Baltimore, Maryland, en 2019.
- Thanos- Este cripto-malware fue descubierto en enero 2020. Se vende como ransomware como un servicio, Es el primero en utilizar el método RIPlace, que puede evadir la mayoría de las técnicas anti-ransomware.
- SimpleLocker- Fue el primer ataque ransomware ampliamente extendido que se centró en los dispositivos móviles.
- TeslaCrypt- Se dirigió a los archivos de juego y vio la mejora constante durante su período de influencia.