Tutorial

Manual de rescate ante un Ransomware

El equipo de Knowbe4, hizo un excelente manual de como actuar frente a un ataque de Ransomware, la mayor parte de este post proviene del manual, sin embargo el manual es aún mas extenso.

 

Comencemos con los primero: ¿Que es el Ransomware?

En Wikipedia Ransomware se define como:

“Un ransomware (del inglés ransom, ‘rescate’, y ware, por software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.”

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250 000 tipos de ransomware únicos.”

 

Datos acerca del ransomware

Normalmente utilizan un cifrado RSA 2048 para cifrar los archivos, a una computadora normal le tomaría un tiempo estimado de 6,4 cuatrillones de años poder romper este cifrado.

Se estima que alrededor de $27 millones de dólares se pagaron, durante los primeros 5 meses de haber lanzado una variante de CryptoLocker en septiembre de 2013.

Entre marzo y agosto del 2014, cerca de 625,000 sistemas fueron infectados por el ransomware Cryptowall, cifrando mas de 5.25 billones de archivos.

El FBI reportó que se han causado daños por alrededor de $18 millones de dólares durante el 2014.

 

Bitcoins y la criptomoneda

Un bitcoin no tiene una representación física, en lugar de eso, se encuentran almacenadas en internet dentro de carteras electrónica y anónimas. Algunos puntos importantes:

  • Puedes realizar pagos a cualquier parte del mundo.
  • Las transacciones se pueden realizar anónimamente.
  • Son ideales para realizar pagos por actividades ilícitas.
  • El uso o posesión de bitcoins, no es una actividad ilícita.
  • El valor de una bitcoin es variable.
  • Se utiliza para pagar y así poder recuperar archivos cifrados por ransomware.

 

¿Que es TOR?

En Wikipedia se define como:

“TOR por sus siglas “The Onion Router” (traducido a español: El Encaminamiento/Enrutamiento de Cebolla), es un proyecto cuyo objetivo principal es el desarrollo de una red de comunicaciones distribuida de baja latencia y superpuesta sobre internet, en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela su identidad, es decir, su dirección IP(anonimato a nivel de red) y que, además, mantiene la integridad y el secreto de la información que viaja por ella. Por este motivo se dice que esta tecnología pertenece a la llamada darknet o red oscura también conocida con el nombre de deep web o web profunda.”

Algunos puntos importantes:

  • Los dominios dentro de la red TOR, utilizan extensiones “.onio”, en lugar de “.com”, “.net”, “.org”, entre otros.
  • No es posible acceder a la red TOR con un navegador web normal como Firefox y Google Chrome.

 

¿Como saber si estas infectado?

  • No puedes abrir tus archivos y generan errores al abrirlos como “El archivo está corrupto” o “La extensión del archivo es errónea”.
  • En el fondo de pantalla de tu equipo, hay un mensaje con las instrucciones de como realizar el pago y descifrar tus archivos.
  • El programa tiene un contador y te avisa que hay un tiempo determinado para que realices el pago o el rescate aumentará y no podrás recuperar tus archivos nunca.
  • Una ventana del ransomware se ha abierto y no puedes cerrarla.
  • Hay archivos en tu equipo con extensiones TXT o HTML con nombres como:
    • HOW TO DECRYPT YOUR FILES
    • DECRYPT_INSTRUCTIONS
    • INSTRUCCIONES PARA DESCIFRAR TUS ARCHIVOS
    • COMO DESCIFRAR TUS ARCHIVOS

 

Un ejemplo de CryptoLocker:

cryptolocker

 

Comúnmente este tipo de ataques son vía:

  • Correo electrónico.
  • Visitando algún sitio web comprometido.
  • Versiones gratuitas de aplicaciones que deberían tener un costo.

 

Algunos correos contienen archivos con extensiones ocultas, es decir, cuando ves el archivo adjunto puede que aparezca “nombrearchivo.txt” y al descargar el archivo te darás cuenta que en realidad se fue nombrado como “nombrearchivo.txt.exe”. Asegurate no ejecutar archivos con estas extensiones hasta que estés completamente seguro de que no es un archivo dañino:

  • .exe
  • .bat
  • .cmd
  • .com
  • .lnk
  • .pif
  • .scr
  • .vb
  • .vbe
  • .vbs
  • .wsh
  • .jar

 

¿Estas infectado?

  1. Desconecta tu equipo de la red.
  2. Desconecta cualquier memoria USB o Disco Duro externo conectado al equipo.
  3. Apaga la tarjeta de red y el Bluetooth de tu equipo.
  4. No borres absolutamente nada.
  5. La máquina infectada tuvo acceso a:
    1. Dispositivos compartidos
    2. Carpetas compartidas
    3. Discos Duros externos
    4. Dispositivos USB
    5. Acceso a servicios de almacenamiento en la nube como: Dropbox, Google Drive, Microsoft OneDrive/Skydrive.

En Dropbox y Google Drive es posible restaurar tus archivos a un estado anterior.

 

Siguientes pasos

Hay 4 opciones que puedes seguir:

  • Restaurar desde una copia de seguridad reciente
  • Decifrar tus archivos utilizando una herramienta de alguna compañía como ESET o Kasperky.
  • No hacer nada (Perder tus datos)
  • Negociar y pagar el rescate (No es lo más recomendable)

 

Puedes identificar el tipo de Ransomware por:

  • El tipo de extensión de los archivos cifrados.
  • El nombre del ransomware que aparece en el mensaje de rescate.
  • El nombre del archivo adjunto.
  • El subject en el correo electrónico.
  • El contenido del mensaje de rescate.
  • La dirección de correo electrónico de dónde proviene.
  • El idioma en el que está escrito el correo o el mensaje de rescate (Para México y Colombia he visto Español, Inglés y Francés, los más comunes).

Algunas herramientas:

  • http://download.eset.com/special/ESETTeslaCryptDecryptor.exe
  • https://noransom.kaspersky.com/
  • https://success.trendmicro.com/solution/1114221
  • http://www.mcafee.com/us/downloads/free-tools/shadedecrypt.aspx
  • https://www.barkly.com/ransomware-recovery-decryption-tools-search
  • http://www.talosintelligence.com/teslacrypt_tool/
  • https://blog.malwarebytes.com/cybercrime/2016/08/decrypting-chimera-ransomware/

 

Puedes consultar este link, es una base de conocimientos que se tienen de los Ransomware más comunes: Ransomware-Knowledgebase.

Si eliges la opción de negociar y pagar el rescate, puedes continuar leyendo el estudio, para que puedas llevar este paso de la mejor manera: MANUAL

Hiramcoop

Hiramcoop

Reader • Speaker | Linux • Technology • Science • Physics • Universe | InfoSec • CyberSec | Security Researcher |
Seekurity.com

Previous post

Tu seguridad también depende de la seguridad de los demás

Next post

Un Malware a enviado a un hospital completo a la sala de emergencias