Cryptolocker; ¿Qué es? ¿Cómo prevenir un ataque? ¿Qué hacer si somos atacados?

Analizamos este peligroso virus informático, que desde su origen, con diversas variantes y con nuevas oleadas ha conseguido infectar a cientos de miles de usuarios en todo el mundo. En las últimas semanas ha sido noticia una nueva versión que emula un email de correos para atacar al usuario.

Una confirmación de correos, mensajería, etc.

correos Sus ataques se dieron a conocer a finales del 2013 y desde entonces, este malware sigue en constante evolución infectando y encriptando la información de los pcs y servidores con un número de víctimas que va en aumento.

El medio empleado para realizar el ataque es principalmente el correo electrónico. El atacante suplanta la identidad de un remitente de confianza para el usuario, envía un correo electrónico que contiene un enlace o un archivo adjunto que si se abre, provoca la infección. En los últimos días se ha hecho muy famosa una de las últimas variantes de Cryptolocker, que simula un email de Correos informando de un paquete que no ha podido ser entregado personalizado con los datos del usuario.

En el cuerpo del mensaje aparece un enlace para poder acceder a la información de dicha entrega; si se pincha sobre él se produce la infección. Posteriormente, el atacante solicita una contraprestación económica para proceder a desencriptar la información. El correo tiene el aspecto que se muestra en la imagen de la derecha.

Debido al creciente número de infecciones detectadas, consideramos necesario poner en conocimiento los detalles de esta amenaza, cómo prevenirla y cómo actuar en caso de ser víctimas de un ataque.

¿Qué es un Ransomware? – Cryptolocker

Es un tipo de malware que, una vez infecta el ordenador, bloquea la máquina y chantajea a la víctima para que ésta recupere el control del equipo. Cryptolocker, es un tipo de Ransomware que encripta los ficheros locales y almacenados en la red a los que tiene acceso el usuario pidiendo un rescate para poder recuperarlos.

¿Cómo se produce una infección?

Principalmente a través de emails de phising: El atacante suplanta la identidad de una organización de confianza para el usuario y envía un correo electrónico con un enlace para la descarga de un documento (una factura, un envío urgente, etc). Si se pincha sobre este enlace se produce la infección.

Medidas preventivas
  • Evitar descargar archivos cuyos enlaces estén indicados en el cuerpo de un correo y que no vengan de personas de confianza. Si existen dudas, revisar si en el correo existen caracteres extraños en vez de tildes o errores ortográficos como que las “ñ” vengan como “n”. Si es así, no abrir los posibles adjuntos ni pulsar en los enlaces.
  • Nunca abrir archivos adjuntos .zip o .exe si el origen no es de nuestra confianza.
  • Es muy importante informar a los usuarios de su organización acerca de los detalles de esta amenaza para evitar posibles infecciones.
  • Mantenga sus sistemas actualizados. Haga que sus sistemas, sobre todos los más expuestos (cortafuegos, antivirus, antispam, etc.), se mantengan lo más actualizados posibles. Las nuevas versiones incluyen siempre más medidas de seguridad que las versiones antiguas.
  • Mantenga su antivirus y antimalware siempre actualizado. Muchos de los programas troyanos que estos hackers utilizan para controlar los sistemas que atacan, son localizados por este tipo de software de seguridad.
  • Disponga siempre de copias de seguridad. En caso de que seamos víctimas de un secuestro de la información, la única forma de recuperar nuestros datos será disponer de una copia de seguridad. Revise que se tiene implantada una buena política de backup y lo más importante, que se está cumpliendo. De nada sirve copiar siempre sobre el mismo dispositivo o medio.

Es importante resaltar que incluso siguiendo todas estas recomendaciones y más, la seguridad al 100% no existe y si somos el objetivo de uno de estos grupos de delincuentes, lo único que podemos esperar es que se den cuenta de que el esfuerzo que tienen que dedicar para convertirnos en sus víctimas es superior a la recompensa que por ello puedan obtener.

¿Qué hacer en caso de ser atacados?

Si se produce el ataque, se debe apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red.

Existen herramientas facilitadas por los fabricantes de soluciones de seguridad que posibilitan en algunos casos la recuperación de la información, pero la constante evolución de Cryptolocker hace que hasta el momento, no hayan resultado demasiado efectivas.

Por lo tanto, como se describe anteriormente, en caso de sufrir un ataque, la única vía segura de recuperar la información será a través de las copias de seguridad, conviene destacar la importancia de disponer de una adecuada política de seguridad en la empresa.