El mundo de antivirus

martes 15 de agosto de 2023

Ya hemos informado de los troyanos extorsionistas, o cifradores, como también los llaman, en las páginas de El Mundo de Antivirus. Este tipo de malware se considera, y no sin razón, uno de los más peligrosos: apenas se puede calcular los daños materiales acumulados causados por cifradores en los últimos diez años. Y no se trata sólo del dinero entregado a los atacantes como rescate. El coste de recuperación de los incidentes, el lucro cesante, la pérdida de tiempo y, por supuesto, la información destruida, cuyo valor puede no ser solo monetario, son las consecuencias reales de estos ataques.

Si Vd. sigue las noticias y tendencias sobre la seguridad de la información, puede que tenga la impresión de que, en los últimos años, los ataques con troyanos cifradores sólo han amenazado a grandes empresas y organismos gubernamentales. De hecho, cada año podemos observar docenas de casos de este tipo, de los que se hacen eco diversos recursos relacionados con la informática. Los motivos de los ciberdelincuentes quedan claros: si atacan con éxito a grandes empresas, pueden contar con las correspondientes "regalías". La perspectiva de destruir o, peor aún, hacer pública la información sensible supone una grave amenaza para toda la empresa, por lo cual algunas víctimas están dispuestas a llegar a un acuerdo, de lo cual se aprovechan los extorsionadores.

Por desgracia, todo esto no significa que los usuarios ordinarios y los sistemas y redes de hogar ya no sean el objetivo de cifradores. Sigue habiendo un gran número de troyanos de esta familia en Internet, a menudo distribuidos como adjuntos de correo electrónico o disfrazados de programas útiles. Las pequeñas empresas que no prestan atención suficiente a la seguridad de la información y a la formación adecuada de sus empleados también corren peligro. Un ataque no tiene por qué estar dirigido contra un objetivo concreto para causar graves daños a los procesos empresariales.

Solemos decir que siempre es más fácil y barato prevenir una amenaza que lidiar con las secuelas de un incidente. Los escenarios y resultados de los ataques de extorsionistas no hacen más que confirmarlo. En una de nuestras ediciones anteriores hablamos de cómo minimizar los riesgos de ser infectado por un troyano cifrador. Hoy hablaremos de qué hacer si los datos de su ordenador ya han sido cifrados.

Para empezar, permítanos recordarle cómo funciona un troyano extorsionista típico en la mayoría de los casos. Una vez iniciado, comienza el proceso de cifrado de los archivos de su ordenador según su programa. En primer lugar, este programa determina qué archivos deben ser cifrados. En la mayoría de los casos, se trata de imágenes, documentos, archivos comprimidos, archivos de bases de datos, copias de seguridad y otra información del usuario. Normalmente, el código del troyano contiene una lista de extensiones e incluso nombres de archivos que deben ser cifrados. En segundo lugar, los archivos se cifran según un algoritmo específico utilizando una clave de cifrado. Normalmente, el troyano cifra todos los archivos de las extensiones especificadas a los que puede acceder. Algunas modificaciones de extorsionistas también intentan acceder a las unidades de red u otros dispositivos conectados al ordenador. De este modo, un troyano también puede cifrar archivos en unidades externas y almacenamientos de red. El proceso de cifrado no es de un solo paso, es decir, si el ordenador se apaga por la fuerza mientras el programa está en ejecución, algunos archivos permanecerán intactos. El tiempo de ejecución del cifrador dependerá del número de archivos que se procesen, del rendimiento del ordenador y del algoritmo del troyano. Una vez cifrados los archivos, el malware crea una llamada "nota de rescate" en el escritorio (de inglés ransom note): un archivo de texto con una explicación de lo sucedido, las exigencias del atacante y los contactos.

La mayoría de los cifradores añaden su extensión al nombre del archivo modificado, lo cual puede ser usado para intentar identificar la instancia del troyano. Cabe mencionar que los archivos cifrados no son sólo datos modificados. La mayoría de las veces, el malware crea un archivo cifrado temporal basado en un archivo limpio y luego sobrescribe el archivo original con este archivo temporal. Este enfoque complica técnicamente la posibilidad de recuperar la información sin descifrarla.

Si los archivos han sido cifrados por un troyano, la solución más correcta y sencilla del problema sería ejecutar un escáner antivirus para neutralizar la amenaza y, a continuación, restaurar los datos a partir de una copia de seguridad actualizada. Pero en realidad no todo el mundo tiene copias de seguridad. Si los datos cifrados son de valor, el usuario puede verse tentado a pagar un rescate al atacante para recuperar sus archivos.

Los ciberdelincuentes suelen prometer en sus notas no sólo restaurar los datos, sino también compartir conocimientos "secretos" sobre cómo proteger a su PC de ataques similares en el futuro; en general, todo lo posible para tentar al usuario a hacer un trato.

Los expertos en seguridad informática recomiendan nunca ceder a la extorsión de los delincuentes. El pago fomenta nuevas actividades delictivas e incentiva a los creadores de virus a desarrollar nuevas versiones de programas maliciosos. Además, nadie garantiza que una vez realizado el pago el operador del cifrador se ponga en contacto y envíe una clave de descifrado. Cabe destacar que los creadores de troyanos no siempre son capaces de descifrar los datos cifrados por su propio software. Por último, un ordenador puede ser infectado con una copia antigua de un cifrador cuyo operador se haya retirado por algún motivo. Pero, ¿hay algo que uno puede hacer por su cuenta?

De hecho, el resultado posterior del incidente dependerá en gran medida de la suerte. Si un ordenador ha sido infectado con un cifrador cuya clave de descifrado está a disposición del público, se puede considerar que el usuario ha salido indemne. La mala noticia es que la probabilidad de eso es muy baja: hay miles de troyanos extorsionistas en el mundo, y las versiones modernas de los mismos usan algoritmos de cifrado cripto-resistentes y las claves únicas para cada copia del malware. A veces tampoco es posible recuperar archivos de las instantáneas de Windows: los cifradores eficaces son capaces de eliminar los archivos de servicio necesarios para la recuperación de datos con las herramientas habituales.

Entonces, ¿qué debe hacer uno si sus archivos están cifrados? En primer lugar, debe aislar su ordenador si forma parte de una red. Después, le recomendamos que se ponga en contacto con el soporte técnico de Doctor Web a través de un formulario especial de nuestro sitio web. Tendrá que guardar una muestra del archivo cifrado y la nota de rescate en un medio separado (consulte más abajo cómo hacerlo correctamente), después de lo cual es mejor apagar el ordenador infectado durante un tiempo. Todas las acciones posteriores, incluido el contacto con el soporte técnico, deben realizarse en otro dispositivo. Recuerde que los intentos de modificar o eliminar archivos corruptos o temporales, así como el inicio de cualquier programa de recuperación y otras acciones independientes en el sistema infectado puede resultar imposibilitar la recuperación de los datos, incluso con una utilidad especial con la clave requerida. Por lo tanto, es importante esperar al veredicto de los expertos sobre la viabilidad técnica de la recuperación antes de tomar cualquier otra medida, incluido el tratamiento del sistema con un programa antivirus.

Al mismo tiempo, recomendamos presentar una denuncia a la policía por acceso no autorizado a su ordenador, distribución de malware y extorsión. Si los ciberdelincuentes de todo el mundo sólo perciben la mirada de las fuerzas del orden en lugar de recibir el rescate esperado, esto difícilmente les motivará a seguir dedicándose a actividades tan inútiles y peligrosas: la extorsión digital. Pero recuerde que, si investiga un caso, es posible que le pidan que entregue el dispositivo infectado para su análisis forense, lo que llevará algún tiempo. Pero hasta si esto no le ayuda en un caso concreto, los llamamientos de los ciudadanos ayudarán a reducir la actividad de los atacantes. Y este es un argumento a favor de la reducción de incidentes de este tipo en el futuro.

Si uno intenta resolver el problema sin ayuda, hay varios servicios especiales en Internet que detectan la modificación de un troyano a base del análisis de una muestra de un archivo cifrado y una nota de rescate. Al enterarse de qué cifrador afectó su ordenador, se puede buscar en Internet las claves de descifrado e instrucciones de recuperación de archivos. Recordamos que uno debe realizar todas las acciones para investigar el incidente en un dispositivo aparte. Tome precauciones al transferir archivos de muestra a soportes extraíbles. Para reducir los riesgos, active la visualización de archivos ocultos y de sistema en el dispositivo infectado. A continuación, transfiera los datos necesarios – las muestras de archivos cifrados y un documento de texto con la nota de rescate - a la unidad flash formateada. Asegúrese de que no aparecen archivos extra en el disco extraíble. Cabe destacar que los troyanos cifradores no suelen propagarse a través de unidades extraíbles, pero una precaución extra en este caso nunca está de más. En caso de conexión de la unidad de datos al dispositivo infectado, existe un alto riesgo de que los archivos de la unidad también se cifren.

Por esta razón, recomendamos usar nuestro producto Dr.Web LiveDisk, que describimos en este artículos, como entorno seguro. Se puede usarlo para transferir los datos necesarios sin que el malware pueda funcionar en su entorno.

Siguiendo el mismo principio, uno puede copiar todos los archivos cifrados a un medio limpio separado para poder descifrarlos en el futuro cuando al encontrar la clave de descifrado. La probabilidad de que esto ocurra puede ser nula, pero no podemos descartarlo, sobre todo si los archivos perdidos tenían un valor especial para Vd.

Como vemos, un ataque con éxito de un troyano de cifrado que usa algoritmos cripto-resistentes no deja demasiadas formas de recuperar sus archivos. Los creadores de virus siguen mejorando sus creaciones y suelen probar nuevas versiones de malware para que los antivirus las detecten. Esto significa que el riesgo de infección está siempre presente, sobre todo en caso no prestar mucha atención a la seguridad digital. Sin embargo, el uso de una protección antivirus completa y el cumplimiento de unas normas sencillas, junto con la realización de copias de seguridad periódicas, casi anularán los esfuerzos de extorsionistas digitales.