Uno de los tipos más nuevos de malware es el ransomware. El ransomware es un tipo de malware particularmente desagradable porque atraviesa y encripta todos los archivos en su computadora y luego le muestra una nota de rescate. Para desbloquear su dispositivo, debe pagar el rescate y luego recibir un código de desbloqueo. Históricamente, la mayoría de las campañas de ransomware realmente descifran los archivos después de que se haya pagado el rescate, ya que la publicidad sobre los piratas informáticos que respetan su parte del trato es una parte importante para persuadir a las personas de que paguen.
Nota: En general, se recomienda no pagar el rescate. Esto sigue demostrando que el ransomware puede ser rentable, ni garantiza que volverá a tener acceso a sus datos.
Consejo: el cifrado es el proceso de codificar datos con cifrado y una clave de cifrado. Los datos cifrados solo se pueden descifrar utilizando la clave de descifrado.
¿Como funciona?
Como cualquier malware, el ransomware debe estar instalado en su computadora para que funcione. Existen muchos métodos de infección potenciales, pero algunos de los métodos más comunes son descargas infectadas en páginas web, anuncios maliciosos y archivos adjuntos de correo electrónico maliciosos.
Sugerencia: La publicidad maliciosa es la distribución de malware a través de redes publicitarias.
Una vez descargado en su computadora, el ransomware comenzará a cifrar archivos en segundo plano. Algunas variaciones harán esto lo más rápido posible, puede notar que afecta el rendimiento de su sistema, pero luego tendrá poco tiempo para hacer nada. Algunas variantes de ransomware cifrarán los datos lentamente para reducir el riesgo de que se detecten en acción. Algunas variantes de ransomware se han dejado inactivas durante semanas o meses para que se incluyan en las copias de seguridad que podrían usarse para restaurar el sistema.
Consejo: el ransomware generalmente evita el cifrado de archivos críticos del sistema. Windows debería seguir funcionando, pero todos los archivos personales, etc. será encriptado.
Una vez que el ransomware encripta todo en la computadora, su acto final es crear una nota de rescate, generalmente en el escritorio. La nota de rescate generalmente explica lo que sucedió, brinda instrucciones sobre cómo pagar el rescate y qué sucederá si no lo hace. Por lo general, también se establece una fecha límite, con la amenaza de un aumento de precio o la eliminación de la clave utilizada para que la gente pague.
Varias variantes de ransomware proporcionan una funcionalidad que le permite descifrar una pequeña cantidad de archivos como un gesto de «buena voluntad» para demostrar que sus archivos se pueden descifrar. El método de pago generalmente será bitcoin u otras criptomonedas. La nota de rescate generalmente proporciona una variedad de enlaces a sitios donde puede comprar las criptomonedas relevantes, con el objetivo de facilitar el pago a las personas.
Una vez que proporcione el pago o, a veces, el comprobante de pago, generalmente recibirá una clave de descifrado que puede utilizar para descifrar sus datos. Desafortunadamente, hay algunas variaciones que nunca descifran incluso si paga: en otras palabras, NO debes pagar, sino buscar otras soluciones.
El proceso de cifrado en su computadora generalmente se realiza con una clave de cifrado simétrica generada aleatoriamente. Esta clave de cifrado se cifra luego con una clave de cifrado asimétrica, para la cual el creador del ransomware tiene la clave de descifrado correspondiente. Esto significa que solo el creador del ransomware puede descifrar la contraseña que necesita para descifrar su computadora.
Consejo: hay dos tipos de algoritmos de cifrado, simétricos y asimétricos. El cifrado simétrico utiliza la misma clave de cifrado para cifrar y descifrar datos, mientras que el cifrado asimétrico utiliza una clave diferente para cifrar y descifrar datos. El cifrado asimétrico permite que una persona dé a varias personas la misma clave de cifrado mientras mantiene la clave de descifrado única.
Algunas variantes de ransomware también incluyen funciones de soporte que le permiten ponerse en contacto con la persona que ejecuta la estafa. Esto está diseñado para ayudarlo a guiarlo a través del proceso de pago, sin embargo, algunas personas lo han utilizado con éxito para intentar negociar el precio.
Consejo: en algunos casos, el ransomware se implementará como una infección secundaria en un intento de encubrir la existencia de otro virus que podría haber robado otros datos en secreto. La intención, en este caso, es principalmente cifrar los archivos de registro y dificultar el proceso de investigación y respuesta a incidentes. Este tipo de ataque generalmente solo se usa en ataques altamente dirigidos contra empresas en lugar de usuarios de computadoras en general.
Cómo protegerse
Puede reducir sus posibilidades de infectarse con ransomware y otro malware si tiene cuidado en Internet. No debe abrir archivos adjuntos que no esperaba, incluso si confía en el remitente. Ustedes deberían Nunca habilite macros en documentos de Office, especialmente si el documento se descargó de Internet. Las macros de documentos de Office son un método común de infección.
Un bloqueador de anuncios, como uBlock Origin, puede ser una buena herramienta para protegerse contra la publicidad maliciosa. También debe asegurarse de descargar solo archivos de sitios web legítimos y confiables, ya que el malware a menudo puede estar oculto en descargas infectadas que se hacen pasar por versiones gratuitas de software pago.
Tener y usar software antivirus o antimalware suele ser una buena defensa contra el malware que logra superar su primera línea de defensa.
¡Ayuda, estoy infectado!
Si se encuentra en la posición en la que el ransomware ha tomado el control de su computadora, es posible que pueda desbloquear el ransomware de forma gratuita. Muchos de los programas de ransomware estaban mal diseñados y / o ya han sido eliminados por la policía.
En estos casos, es posible que la clave maestra de descifrado haya sido identificada y esté disponible. Europol EC3 (Centro Europeo de Ciberdelincuencia) tiene una herramienta llamada «Sheriff criptográficoQue se puede usar para identificar qué tipo de ransomware tiene y luego conectarse a la herramienta de descifrado adecuada, si existe.
Una de las mejores protecciones que puede tener contra el ransomware son las buenas copias de seguridad. Estas copias de seguridad deben almacenarse en un disco duro que no esté conectado a la computadora o a la misma red que la computadora para evitar que también se infecten. La copia de seguridad solo debe conectarse a la computadora afectada después de que se elimine el ransomware; de lo contrario, también se cifrará.