22

6

15

CRYPTOWALL 3.0 Y LAS EXTORSIONES AHORA EN EL PERÚ

CryptoWall 3.0 es la última versión del malware de la familia de software de extorsión más conocido como Ransomware, la cual vive en internet desde inicios de este año (enero 2015).  Este malware se ha expandido de manera exponencial afectando a varias regiones del mundo, entre las que se encuentran Nueva Zelanda y Australia, entre las más afectadas. Sin embargo, aunque esto suceda en mayor medida en países lejanos, se han detectado casos en Sudamérica y a pesar de ser mínimos (1%), no significa que el Perú este exonerado de esta amenaza. Según el análisis y hallazgos, esta infección se ha detectado no solamente en computadoras de usuarios no-corporativos sino también a escala corporativa en Perú.

La familia del malware Ransomware enfocado a este tipo de extorsión, ganó fama luego del lanzamiento de CryptoLocker a mediados de Setiembre del 2013, el cual ha logrado recaudar cerca de 3 millones de dólares.

Uno llega a consultarse que es lo que hace y porque es tan peligroso. Si bien es unmalware o virus como cualquier otro, tiene sus peculiaridades distintivas de la familiaRansomware ya que este secuestra los archivos personales de la víctima y luego exige el pago de una extorsión por estos. Esta actividad la realiza por medio del cifrado haciendo uso del algoritmo RSA-2048 y luego de ello provee a la víctima con 7 días para realizar el pago del monto monetario solicitado. De no llevarse a cabo el pago, el precio se duplica al fin de los primeros 7 días.

La infección llega con la apertura de un archivo adjunto sobre un correo electrónico o bien bajo descarga automática durante la navegación sobre páginas web de mala reputación. Es por éstos medios donde CryptoWall 3.0 logra instalarse evitando ser detectado por el usuario.

Luego de ello inicia el cifrado alcanzando todo tipo de archivo que se encuentre sobre el sistema de ficheros, usando el algoritmo RSA-2048 con llave pública. Además, también utiliza una llave privada alojada fuera del host infectado, la cual sirve para descifrar los archivos posteriores al pago. Al término del cifrado, se guardan una serie de archivos con el nombre HELP_DECRYPT (HTML, PNG, TXT o URL) en el cual se indican las instrucciones básicas para el pago de la extorsión.

Lo recomendable en caso de recibir una infección de este tipo, es apagar inmediatamente la computadora para evitar la extensión del cifrado a lo largo de todos los directorios y archivos. Posterior a esto, es recomendable realizar el ingreso al equipo en “Modo a Prueba de Errores” o haciendo uso de un CD/DVD de arranque para el encendido de la computadora. Con ello el malware no continuará con el cifrado. Luego de realizar el procedimiento indicado, se debe realizar un backup de los archivos no infectados para posteriormente formatear el ordenador.

Desafortunadamente, hasta el momento del desarrollo de este artículo, no existe ningún antivirus confiable que pueda limpiar esta infección.

En relación a los archivos que se encuentran cifrados por causa de la infección, existe un mínimo de opciones para su recuperación. Debido a esto, se recomienda tener respaldos de su información actualizadas.

RECOMENDACIONES 

Se recomienda concientizar a los usuarios debido a que son el eslabón más débil en la organización, por lo que es muy probable que a través de ellos llegue la infección.

Las charlas de concientización hacia los usuarios deben estar enfocadas en criterios de navegación en internet, identificar correos típicos de phishing, no descargar información de remitentes no conocidos, generar backups de forma periódica de su información, entre otras buenas prácticas de seguridad.

Por otro lado, considere aplicar las recomendaciones de seguridad de su proveedor de antivirus. En líneas generales estas recomendaciones están enfocadas en crear políticas restrictivas de creación, modificación y ejecución de archivos puntuales. Recomendamos en ponerse en contacto con su proveedor de seguridad de la información para comenzar a aplicar estas buenas prácticas.

Compartir noticia:

Noticias Recientes

1

5

17

POLÍTICA DEL SGI

31

1

17

CHECK POINT designa a SECURE SOFT como canal “4 ESTRELLAS” en Perú y Ecuador.

16

12

16

SECURE SOFT inauguró un nuevo Cyber Security Operation Center (Cyber SOC) en la Región

30

11

16

Primer congreso Tecnológico para las CAJAS MUNICIPALES