
Cryptolocker, como afrontar este troyano?
Estamos recibiendo muchas consultas de clientes y particulares sobre el extendido #malware #Cryptolocker y sus posibles soluciones en equipos que se hayan visto afectados.
Citamos textualmente lo que en la wikipedia explican sobre este malware.
“es un malware tipo #troyano dirigido a computadoras con el sistema operativo #Windows que se popularizó a finales de 2013. El CryptoLocker se distribuye de varias formas, una de ellas como archivo adjunto de un correo electrónico. Una vez activado, el malware cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red usando #criptografía de clave pública #RSA, guardándose la clave privada en los servidores del malware. Realizado el cifrado, muestra un mensaje en pantalla, en el cual ofrece descifrar los archivos afectados, si se realiza un pago antes de una fecha límite (a través de #Bitcoins o con vales pre-pagos), y menciona que la clave privada será destruida del servidor, y que será imposible recuperarla si la fecha límite expira. Si esto ocurre, el malware ofrece la posibilidad de descifrar los datos a través de un servicio en línea provisto por los operadores del malware, con un precio en Bitcoin mucho más alto. A pesar que el malware es fácilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible de descifrar…”
Aunque este malware se empezó a extender en 2013, es ahora cuando está en su punto más álgido. Podemos decir que ha “mutado” y son diversas, las variantes del mismo, de ahí que un porcentaje de la información sea recuperable, y un porcentaje, por suerte menor, queda inservible y no es des-encriptable. Todo ello, en función de la versión del malware con el que la máquina haya sido infectada.
Hasta la fecha en #Gystic nos hemos encontrado con dos variantes del mismo malware, en uno de los casos, la recuperación ha sido satisfactoria en todos los archivos, y en otro caso, no ha sido posible recuperar ninguno de los archivos encriptados.
Queremos daros unas pautas, consejos por si os encontráis con un equipo infectado:
- Desconectar el equipo de la red.
- NO pagar los “Bitcoins” bajo ningún concepto. En la mayoría de los casos, aun pagando la cantidad solicitada, muchos de los archivos no pueden ser des-encriptados.
- No intentar eliminar el virus hasta no saber qué tipo de encriptación tienen los archivos. En algún caso, nos hemos encontrado, que las herramientas habituales para analizar el disco en busca virus, malware, troyanos… elimina la infección, pero también algunos archivos necesarios para la des-encriptación de los documentos.
- Poneros en contacto con Gystic.
En Gystic, somos partner de #Dr.Web, actualmente uno de los mejores antivirus del mercado y con mejor aceptación. No está muy extendido en Europa pero es de los pocos, sino el único, que ofrece, a través de su canal de distribución, una solución de manera #GRATUITA a este problema, en el caso de que esa solución sea factible y de que el equipo infectado posea una licencia en vigor de Dr.Web.
Para aquellos equipos o clientes que no tengan Dr.Web, se les hace una labor de consultoría, y en caso de poder resolverse el problema, deben migrar los equipos a su sistema antivirus…! ¿Qué menos verdad?!
El fabricante Dr.Web nos deja algunas recomendaciones, que aunque parezcan obvias, son precisamente, las principales causas de infección:
- Tener el antivirus actualizado y en vigor.
- No utilizar software gratuito. Las estadísticas dicen, que un alto porcentaje de equipos infectados en España, tenían como antivirus, una versión “free”.
- No abrir archivos “sospechosos” recibidos por correo electrónico.
- Fijarse bien en la dirección del remitente, el “cuerpo” del correo, y en las extensiones de archivos adjuntos. (textos en inglés, mal redactados, direcciones erróneas, son indicios de un posible correo infectado). En la mayoría de los casos, previo al envío del correo con el adjunto infectado, existe un robo de identidad, mediante el cual, se hacen con las cuentas de correo de miles de usuarios que son usadas a modo de #Botnet para la propagación del malware.
Para cualquier duda o consulta al respecto, no dudéis en poneros en contacto con Gystic, por correo, formulario web o cualquiera de nuestras redes sociales.
Muchas gracias.
Dpto. Seguridad Gystic Asturias.