Els atacs informàtics coneguts com a ransomware, són la implementació digital dels segrestos a canvi d’un rescat que tots coneixem. És a dir, l’objectiu dels delinqüents és segrestar la informació del nostre ordinador encriptant tots els documents, fotografies, arxius comprimits, etc. i demanar un rescat econòmic a canvi de tornar a deixar la informació en el seu estat original.

ransomware-16-638

240px-BitcoinAquest rescat econòmic seria relativament senzill de seguir per la policia, però en la majoria dels casos el rescat es demana en la moneda bitcoin, que com vam parlar en aquest article, és molt difícil de seguir-li el rastre a una transacció ja que és una divisa electrònica no controlada per cap banc central.

Com ens podem infectar ?

Actualment el sistema de propagació més usat per aquests ciberdelinqüents és el correu electrònic. En la majoria dels casos s’envien milers de correus electrònics utilitzant la tècnica del phising, que consisteix a suplantar la identitat de l’emissor del correu per fer-nos caure en la trampa. Per exemple, darrerament s’han utilitzat mails aparentment enviats des de Correos o de la companyia elèctrica Endesa.

Aquí pots veure un exemple de mail amb infecció per ransomware:
correos-virus

Cal extremar les precaucions amb els correus electrònics que rebem. Recorda que una entitat seriosa mai et demanarà per mail que introdueixis les teves dades, contrasenyes, o altres informacions delicades amb un missatge tipus “fes clic aquí”. Habitualment t’envien un comunicat on t’informen de qualsevol cosa i et diuen que tu mateix entris a la web de l’empresa com ho fas habitualment, i atenguis la seva petició d’informació.

Davant del més mínim dubte, sempre és millor ignorar o esborrar el correu electrònic. Si era una cosa important pel teu emissor, ja t’ho tornarà a enviar o te’n farà menció per algun altre canal.

Recorda que els delinqüents sempre van un pas per davant de les mesures de seguretat que tu puguis aplicar, per tant, la prudència és la millor recomanació. Fixa’t en aquest altre exemple: El correu electrònic suplanta la identitat de la companyia elèctrica i s’envia exactament a final de mes, indicant que facis clic per descarregar la teva factura del llum. Oi que en aquest moment has pensat: “Probablement jo hi hauria fet clic”. Sobretot si habitualment rebs les factures del llum en format electrònic.

Exemple de correu maliciós d’Endesa:
endesa_ransom1

Les darreres setmanes ha aparegut una nova forma de propagació de la infecció que consisteix en piratejar les pàgines web de determinats programes que són molt populars. Es coneixen casos de: winrar, ammyy, etc… En aquests casos el que fan els delinqüents, és atacar la web d’aquests programes i en el lloc on l’usuari es pot descarregar el winrar, per exemple, modifiquen l’arxiu que es descarregarà per un winrar que inclou el llançador del virus. Quan l’usuari se’l descarrega, l’aparença és complement normal: icona, nom, etc. l’executa i ja ha activat el virus sense saber-ho.

Si tinc antivirus, perquè no estic protegit del ransomware ?

Els virus informàtics existeixen des de fa molts anys, i avui dia, pràcticament ningú utilitza un ordinador sense instal·lar prèviament un antivirus de pagament o gratuït. L’experiència ens ha portat a descobrir infeccions per ransomware en ordinadors que tenien antivirus, i de diverses marques com: avast, kaspersky, bitdefender, etc…

bitdefender

Pots trobar molta informació a internet, com aquest article en què es parla de la dificultat que tenen els antivirus actuals per combatre el ransomware.

Hem d’anar a l’origen de la detecció de virus clàssica. La majoria d’antivirus es basen en immenses bases de dades de programes malware coneguts, per tal de detectar la presència d’algun d’ells en el nostre ordinador. L’objectiu principal dels virus clàssics, és fer mal al sistema, ja sigui inutilitzant-lo completament, esborrant informació, propagant-se a si mateix, tombant xarxes per acumulació de tràfic, etc.

Els antivirus clàssics actualment no estan detectant els patrons de comportament dels virus tipus ransomware, perquè des d’un punt de vista estricte, és un comportament legítim. Són programes que recorren el disc dur buscant arxius (tipus documents, fotos, etc…) i en modifiquen el contingut. En molts casos també en canvien el nom i/o l’extensió. Mai ataquen directament arxius de sistema que són els que estan més protegits pels antivirus.

bitdefender-ransomware-tool-100652914-large

Aquest darrer any molts fabricants d’antivirus ofereixen “vacunes” contra ransomware que són programes a part de  l’antivirus, i que simplement intenten enganyar el virus ransomware marcant determinats arxius o parts del registre del sistema per fer-li creure al virus que aquesta màquina ja ha estat atacada i que per tant no cal que l’encripti de nou. Són efectius amb ransomware coneguts, però l’evolució d’aquests és molt ràpida i en pocs dies les vacunes queden obsoletes.

El ransomware no ataca al sistema. Ataca la informació de l’usuari.

El ransomware mai ataca el mateix sistema operatiu o fa que el sistema no estigui funcional al 100%. Recordem  l’objectiu que tenen els delinqüents: Demanar-nos un rescat econòmic per les nostres dades. Per tant sempre mantenen el sistema funcional i només encripten la nostra informació personal. Un cop encriptada tota (cosa que aconsegueixen fer en molt pocs minuts) ens apareix una pantalla on ens mostra l’amenaça i ens demana el rescat.

cryptolocker-100222101-orig

Esperem que ben aviat els antivirus puguin detectar els patrons de funcionament dels ransomware i ens protegeixin abans de l’atac. Ja hi ha algunes solucions de kaspersky i bitdefender, per exemple, que en les seves versions domèstiques i/o corporatives activen una protecció ransomware. El que fan és inspeccionar si en determinades carpetes, com per exemple, “els meus documents” algun programa està editant molts arxius de forma massiva i llencen un avís previ bloqueig del programa. Llavors l’usuari decideix si l’acció és legítima o no. Aquest model té un inconvenient i és que provoca molts “falsos positius”. Encara està verd aquest tema.

La millor protecció avui dia contra el ransomware és la prudència abans d’obrir correus electrònics, accedir a pàgines webs desconegudes, etc.

Què puc fer per protegir la meva informació ?

Doncs el més important és tenir còpies de seguretat el més recent possible. Properament publicarem un article dedicat el món de les còpies de seguretat, aquí comentarem alguns detalls com per exemple en funció del lloc on guardem les còpies tenim,

  • Còpies de seguretat locals, que són les que fem en dispositius connectats al nostre sistema: per exemple, disc durs externs, pendrives, cdrom, cintes magnètiques etc…
    Pel que fa al ransomware, aquestes còpies corren risc de ser encriptades si el dispositiu on les fem està permanentment connectat al nostre ordinador. És molt recomanable desconnectar els discs externs on fem les còpies quan no s’utilitzen. El ransomware, busca tots els discs disponibles al sistema tant locals com en xarxa i en pocs minuts ens pot encriptar la nostra assegurança contra catàstrofes que són les nostres còpies.

    Fés còpies de seguretat locals i desconnecta el dispositiu un cop fetes.

  • Còpies de seguretat remotes, que són les que fem en servidors al núvol (internet). En aquest cas sembla que estaríem perfectament protegits davant un atac ransomware al nostre ordinador ja que el virus no pot accedir directament al servidor d’internet on tenim les dades. Al tanto ! Quan les còpies al núvol les fem a través d’un servei com dropbox, google drive, icloud, etc… hem de recordar que el nostre ordinador té un programa que sincronitza la informació del núvol amb una carpeta local al nostre ordinador. I aquesta sincronització és bidireccional !! Per tant si ens entra un ransomware, encriptarà la carpeta local del dropbox i el sincronitzador pujarà els arxius encriptats al servidor d’internet. Per sort algunes eines com dropbox permeten recuperar un arxiu en un estat anterior (30 díes màxim en la versió gratuïta), i per desgràcia s’ha de fer arxiu per arxiu, no es pot fer de tota una carpeta.
    En resum, el millor sistema actualment per tenir còpies fora és algun sistema tipus FTP, o que no tingui sincronització local automàtica.

    Fés còpies fora de casa, oficina, etc… i vigila si utilitzes un sistema de sincronització automàtica.

Si ja m’he infectat. Puc fer alguna cosa ?

Si has arribat a aquest punt, com es diu col·loquialment: tens un problema.

El primer que cal fer és parar la infecció amb un antivirus clàssic (escanejant tot el sistema) o amb altres eines específiques de neteja com: adware, malwarebytes, etc…

Un cop fet això podem intentar recuperar la informació encriptada.

Algunes versions de ransomware, sobretot les més antigues, no afecten a les Windows Shadow Copies. Aquestes autocòpies que fa el propi Windows permeten recuperar una carpeta de dades a l’estat que tenia en una data anterior.

shadow

Al tanto que no totes les versions de Windows ho portaven activat per defecte. En el cas que ho tinguem activat i hi hagi versions anteriors simplement hem de demanar que es restauri a la data desitjada.

Si això no està disponible haurem d’anar a comprovar si tenim còpies de seguretat en bon estat, que no hagin estat afectades per l’encriptació i fer una recuperació de les dades personals o de tot el sistema depenent del mètode que em emprat per fer les còpies.

Si no puc recuperar la meva informació … he de pagar o no ?

Etern dilema. Si pagues, primer estàs fomentant que els delinqüents millorin els seus atacs perquè ara tenen finançament. En segon lloc també corres el risc que a més de ser delinqüents, siguin uns malparits i un cop rebin els teus diners s’oblidin de tu completament.

Davant d’aquesta disjuntiva, crec que has de veure el teu propi grau de desesperació davant el problema. Imaginem un cas amb persones físiques. Segresten un fill teu. Òbviament la policia et recomanarà que no paguis i que ells faran tot el possible per rescatar el teu fill sà i estalvi. Aquest argument el veus claríssim quan el segrestat és el fill d’una altra persona, però quan és el teu fill, ja no el veu gens clar.
Si t’han encriptat la informació de tota la teva empresa, no pots recuperar res de les còpies i veus en un seriós risc de fallida la teva empresa … doncs pensa que és el teu fill i decideix què vols fer.

Sempre és recomanable denunciar a la unitat de delictes informàtics de la policia aquests casos.

Ransomware. El segrest digital.
Si t'agrada, comparteix...
FacebooktwitterpinterestlinkedinmailFacebooktwitterpinterestlinkedinmail
Etiquetat a:            

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *