El troyano Cryptolocker vuelve con fuerza renovada
Usando una encriptación bastante fuerte y una técnica de ingeniería social mejorada, CryptoLocker está teniendo éxito donde otros virus de tipo ransomware (malware que una vez que infecta el ordenador amenaza al usuario con bloquear el equipo si no se paga una cierta cantidad de dinero en un determinado plazo) han fallado.
LA "INOCENCIA" DE LOS USUARIOS
En los últimos dos meses se ha extendido esta perniciosa pieza de malware para consumidores y negocios, que cifra nuestros archivos exigiendo el pago de la clave para liberar la información que él mismo ha secuestrado.
El malware, conocido como CryptoLocker, o Crilock, gana un punto de apoyo en las redes cuando se trata de usuarios incautos, ya sea particulares o dentro de empresas. La mejor técnica para engañar a un usuario sigue siendo la ingeniería social.
En la empresa pasa del siguiente modo: Si los usuarios de Windows abren un archivo adjunto en un correo electrónico que parece ser una queja de los clientes, el malware entra en contacto con un servidor de Internet desde el que descarga una clave única y luego codifica los archivos más importantes en el equipo infectado; más tarde muestra un mensaje al usuario exigiendo un rescate por la clave para desbloquear sus datos. Y voilà, todo el proceso está en marcha.
Conocidos como ransomware, estos programas no son nuevos, pero la versión más reciente lo ha puesto de nuevo sobre la mesa. En 1989, un programa que supuestamente mostraba información a los usuarios sobre SIDA y VIH, bloqueaba el sistema host , cifrando los nombres de archivos y directorios y exigiendo 378 dólares para el código de desbloqueo en un periodo máximo de 90 días. Afortunadamente, el algoritmo de cifrado, implementado en el virus, era extremadamente débil, y las empresas de seguridad fueron capaces de resolver el código de desbloqueo con mucha facilidad.
En 2008, un programa conocido como GPCode también encriptaba los archivos y exgía un rescate por la clave de desbloqueo. La firma de seguridad Kaspersky Lab encontró una manera de romper la clave de 660 bits proporcionando herramientas a los consumidores afectados para recuperar sus datos. Más tarde, los cibercriminales responsables de GPCode, mejoraron la clave a 1024 bits haciendo mucho más difícil, sino imposible realizar la misma tarea.
CryptoLocker mejora este enfoque, descargando una clave única para cada infección usando un servidor vinculado con un nombre de dominio generado aleatoriamente. Por lo general, utilizando un algoritmo de generación de dominio (DGA) se hace más difícil para las empresas de seguridad poder enumerar y bloquear los dominios utilizados por el malware para comunicarse con sus operadores criminales, pero la firma de seguridad OpenDNS ha sido capaz de calcular muchos de los nombres de dominio y ha comenzado a bloquearlos. A pesar de que esta táctica no previene de la infección del virus, sí obstruye la posibilidad de que el malware cifre los archivos de los ordenadores infectados.
EXTENSIÓN DE LA INFECCIÓN
Más de 2.700 ordenadores intentaron establecer contacto con los dominios que sirven las claves de encriptación para los sistemas infectados, según Kaspersky Lab, así que es probable que este programa ya haya infectado a miles de ordenadores en todo el planeta.
Los cibercriminales detrás de CryptoLocker han enviado las claves a las víctimas que ya han pagado el rescate para poder desbloquear su ordenador pero, los expertos en seguridad destacan que pagar a los criminales lo único a lo que conduce es a que haya más ataques en el futuro. Hay que evitar ceder ante la amenaza.
CONSEJOS
La prevención para el Troj / Ransom-ACP, en este caso, es significativamente mejor que la curación:
Manténgase parcheado. Mantenga su sistema operativo y el software actualizado.
Asegúrese de que su antivirus está activo y actualizado.
Evite abrir archivos adjuntos que no esperabas, o de gente que no conoce bien.
Realice copias de seguridad y guárdelas en un lugar seguro, preferiblemente offline.
