11 formas de protegerte del ransomware, incluyendo Cryptolocker

Si preparaste tu sistema en forma correcta, protegerte del ransomware será fácil y evitarás
que esta amenaza arruine tus archivos.

El ransomware es un software malicioso empleado por los cibercriminales para secuestrar tu

equipo o ciertos archivos que almacena, y luego pedirte el pago de un rescate a cambio de su

recuperación. Lamentablemente, el ransomware es un medio cada vez más popular mediante

el cual los creadores de malware extorsionan a empresas y consumidores por igual para qui-

tarles dinero.

Son muchas las formas en que puede ingresar a una computadora, pero como suele ocurrir,

las técnicas terminan siendo tácticas de Ingeniería Social o el uso de vulnerabilidades de soft-

ware para instalarse silenciosamente en la máquina de la víctima.

¿Por qué Cryptolocker es tan notable?

Una amenaza en particular de tipo ransomware que apareció mucho en las noticias es Crypto-

locker (detectada por ESET como Win32/Filecoder). Este malware se asoció con una variedad

de otros programas maliciosos, como troyanos backdoor, downloaders, spammers, ladrones

de contraseñas, troyanos clicker de publicidades, entre otros. Cryptolocker puede llegar solo
(en general enviado por correo electrónico) o como componente adicional de un backdoor o

un downloader.

Sus creadores fueron hábiles y persistentes; hicieron un esfuerzo coordinado para lanzar nue-

vas variantes con el objetivo de mantenerse al día de los cambios en la tecnología de protec-

ción y para ir atacando a distintos grupos con el paso del tiempo. Fue así como nos encontra-

mos con Cryptolocker 2.0, aunque últimamente, otras amenazas como CryptoWall 3.0 tam-

bién estuvieron muy presentes.

Al principio, los correos electrónicos estaban dirigidos a usuarios domésticos, luego a empre-

sas pequeñas, medianas, y ahora también atacan a grandes corporaciones. Además del correo
electrónico, este malware puede propagarse por puertos RDP que hayan quedados abiertos a
Internet. Cryptolocker también puede afectar los archivos del usuario alojados en unidades

de red asociadas al equipo (por ejemplo, D:, E:, F:). Por lo tanto, es capaz de afectar archivos

ubicados en discos rígidos externos, incluyendo unidades de memoria USB, o carpetas que se

encuentren en la red o en la nube. Si, por ejemplo, tienes una carpeta de Dropbox asignada

en forma local, también podría cifrar sus archivos.

Los elegidos por esta amenaza suelen ser aquellos con formatos de datos muy populares, ar-

chivos que abrirías con un programa instalado en el equipo (como Microsoft Office, los pro-

gramas de Adobe, iTunes u otros reproductores de música, o visualizadores de fotos).

Los criminales usan dos tipos de cifrado: los archivos en sí se protegen con cifrado AES de 256

bits. Las claves generadas por este primer proceso de cifrado a su vez se protegen con ci-

frado RSA de 2048 bits, y los autores guardan la clave privada que permite descifrar tanto las

claves ubicadas en la máquina del usuario, como los archivos que estas claves protegen.

La clave de descifrado no puede adivinarse por fuerza bruta ni extraerse de la memoria del

equipo afectado. Aparentemente, los criminales son los únicos que tienen la clave privada.

¿Qué se puede hacer al respecto?

Por un lado, el ransomware puede ser muy preocupante, dado que los archivos cifrados bien

podrían considerarse dañados irreparablemente. Pero si preparaste tu sistema en forma co-

rrecta, no será nada más que una simple molestia.

Los siguientes consejos te ayudarán a protegerte del ransomware y evitar que te arruine el

día:

1. Haz un backup periódico de tus datos

La única herramienta y la más importante que tenemos para derrotar al ransomware es con-

tar con un backupactualizado en forma periódica. Si te ataca un ransomware podrás perder

ese documento en el que comenzaste a trabajar esta mañana, pero si puedes restaurar el

sistema a una instantánea anterior o desinfectar el equipo y restaurar desde tu backup los

documentos que estaban infectados, estarás tranquilo.

los discos externos como las memorias USB, así como los espacios de almacenamiento en la

red o en la nube para los que haya una letra de unidad asignada. Por lo tanto, lo que debes

hacer es llevar un régimen periódico en un disco externo o servicio de backup, que no tenga

asignada ninguna letra de unidad o que se pueda desconectar mientras no está haciendo el

backup. Encontrarás más información en nuestra Guía de Backup.

Los siguientes tres consejos tienen que ver con la forma en que Cryptolocker se comporta,

aunque es posible que no sea el caso de manera indefinida, pero aún así pueden ayudar a in-

crementar tu seguridad en general mediante pequeñas acciones, y evitar una variedad de

técnicas de malware comunes.

2. Muestra las extensiones ocultas de los archivos

Con frecuencia, una de las maneras en que se presenta Cryptolocker es en un archivo con

extensión “.PDF.EXE”, aprovechando la configuración predeterminada de Windows de ocul-

tar las extensiones para tipos de archivos conocidos. Si desactivas la casilla correspondiente,

podrás ver la extensión completa de cada uno y será más fácil detectar los sospechosos.

3. Filtra los archivos .EXE del correo electrónico

Si tu sistema cuenta con una herramienta que permite filtrar adjuntos por extensión, puedes

configurarlo para rechazar los correos que tengan archivos “.EXE” o con doble extensión,

donde la última sea la del ejecutable (seleccionar los archivos “*.*.EXE” al configurar el filtro).

Si necesitas intercambiar archivos ejecutables dentro de tu entorno y configuraste el sistema

para rechazar los de tipo “.EXE”, igual podrás hacerlo convirtiéndolos a ZIP(protegidos por

contraseña, por supuesto) o mediante servicios en la nube.

4. Deshabilita los archivos que se ejecutan desde las carpetas AppData y LocalAppData

Puedes crear reglas en Windows o mediante el software de prevención de intrusiones para

bloquear un comportamiento en particular, típico de Cryptolocker: el hecho de que ejecuta

su archivo .EXE desde la carpeta App Data o Local App Data. Si por alguna razón tienes
un software legítimo configurado para ejecutarse desde el área de App Data en vez de hacerlo

desde Archivos de programa, deberás crear una excepción para esta regla.

5. Usa el Kit para la prevención de Cryptolocker

El kit para la prevención de Cryptolocker es una herramienta creada por Third Tier que auto-

matiza la creación de una Política de Grupo para deshabilitar los archivos que se ejecutan

desde las carpetas App Data y Local App Data. Además deshabilita los ejecutables que se abren

desde el directorio Temp de diversas utilidades para comprimir archivos.

Esta herramienta se va actualizando a medida que nuevas técnicas de Cryptolocker salen a la

luz, por lo que deberás verificarla en forma periódica para asegurarte de que tienes la última

versión. Si necesitas crear excepciones para estas reglas, Third Tier suministra este docu-
mento que explica el proceso.

6. Deshabilita RDP

El malware Cryptolocker/Filecoder en general accede a las máquinas mediante el Protocolo

de escritorio remoto (RDP, por sus siglas en inglés), una utilidad de Windows que les permite

a terceros obtener acceso a tu equipo de escritorio en forma remota. Si no necesitas usar el

protocolo RDP, puedes deshabilitarlo para proteger tu máquina de Filecoder y otros explo-

its RDP. Para ver las instrucciones, consulta el artículo correspondiente de Microsoft Kno-

wledge Base.

7. Instala las revisiones y actualizaciones de tu software

Los siguientes dos consejos son más generales y sirven tanto para Cryptolocker como para

cualquier otra amenaza de malware. Los cibercriminales con frecuencia se basan en que las

personas usan softwaredesactualizado con vulnerabilidades conocidas, lo que les permite

usar un exploit e ingresar silenciosamente al sistema.

Si te haces el hábito de actualizar tu software con frecuencia, reducirás significativamente la

posibilidad de convertirte en víctima del ransomware. Algunos fabricantes lanzan actualiza-

ciones de seguridad periódicas de rutina, como por ejemplo Microsoft y Adobe, pero también

existen actualizaciones adicionales no programadas para casos de emergencia. Siempre que

cante, ya que a los creadores de malware también les gusta hacer pasar sus creaciones como

actualizaciones de software.

8. Usa un paquete de seguridad confiable

Siempre es una buena idea tener un software antimalware y un firewall que te ayuden a iden-

tificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas

variantes para evadir la detección, por lo que es importante contar con ambas capas de pro-

tección.

En la actualidad, la mayoría del malware se basa en recibir instrucciones remotas para llevar

a cabo sus actividades maliciosas. Si te cruzas con una variante de ransomware tan nueva que
logra pasar el software antimalware sin que la detecte, es posible que quede bloqueada por

el firewall cuando intente conectarse con su servidor de Comando y Control (C&C) para recibir

instrucciones sobre el cifrado de tus archivos.

Si te encuentras en una posición en la que ya ejecutaste el archivo del ransomware sin ninguna

de las precauciones antes mencionadas, tus opciones ya son mucho más limitadas. Pero puede

ser que no todo esté perdido. Hay algunas cosas que puedes hacer que quizás ayuden a miti-

gar los daños, en particular si el ransomware en cuestión es Cryptolocker.

9. Desconéctate del Wi-Fi o quita el cable de red de inmediato

Si ejecutaste un archivo que sospechas que puede tratarse de un ransomware, pero aún no

apareció la pantalla característica en tu computadora, si actúas muy rápido, quizá puedas de-

tener la comunicación con el servidor C&C antes de que termine de cifrar tus archivos. Si te

desconectaste de la red inmediatamente (¿dejé bien en claro que debe hacerse en ese pre-

ciso instante?), puedes llegar a mitigar el daño.

Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre

tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte sufi-

ciente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor
que no hacer nada.
10. Usa Restaurar sistema para volver a un estado sin infecciones

Si la funcionalidad Restaurar sistema está habilitada en tu equipo con Windows, es posible

que puedas volver a un estado sin infecciones. Pero, una vez más, debes ser más inteligente

que el malware. Las últimas versiones de Cryptolocker pueden incluir la capacidad de borrar

archivos de respaldo de la restauración, es decir que ya no estarán allí cuando intentes reem-

plazar la versión que dañó el malware.

Cryptolocker comenzará con el proceso de borrado cada vez que se inicie un archivo ejecuta-

ble, por lo que debes ser muy rápido, ya que los ejecutables pueden iniciarse como parte

de procesos automatizados. En otras palabras, pueden ejecutarse sin tu conocimiento, como

parte normal del funcionamiento de tu sistema Windows.

11. Retrocede la hora en el reloj de la BIOS

Cryptolocker en general fija el límite de tiempo en 72 horas para realizar el pago, tras lo cual

el precio para descifrar los archivos sube significativamente. El precio puede variar debido a

que Bitcoin tiene un valor bastante volátil.

Lo que puedes hacer es retroceder la hora en el reloj de la BIOS a un punto anterior a que se

cumplan las 72 horas. Soy un poco reacia a dar este consejo, ya que para lo único que sirve es

para evitar que pagues el precio más alto, cuando en realidad nosotros recomendamos fir-

memente no pagar el rescate.

Aunque el hecho de pagarles a los criminales puede llevarte a recuperar tus datos, hubo mu-

chos casos en los que la clave de descifrado nunca llegó o no descifró los archivos. Además,

¡fomenta la conducta criminal! Ningún tipo de secuestro es una práctica comercial legítima,

por lo tanto, los creadores de malware no tienen ninguna obligación de cumplir con lo acor-

dado; pueden llevarse el dinero sin dar nada a cambio, ya que no existe ningún control ni

sanción si no lo hacen.