En 2011 hablé sobre las 8 amenazas más peligrosas para la seguridad informática y dentro del top se encontraba el Ramsomware.
Varios años atrás cuando programaba malwares, una técnica de Spread (propagación) efectiva era sustituir los archivos contenidos en un Pendrive (USB) por un malware (exe) con los mismos nombres de los archivos originales, a su vez, los archivos originales eran movidos dentro de un folder oculto, de tal manera que el usuario ejecutara siempre el malware y el malware a su vez al archivo original. Esta técnica nació debido a que el famoso «autorun.inf» dejó de ser implementado en las nuevas generaciones de sistemas operativos. Pero, cuando los antivirus detectaban el malware, eliminaban los «exe» de tal manera que el usuario pensaba que sus archivos habían desaparecido, pero en realidad estaban ocultos en el folder. A grandes rasgos la operación era de la siguiente manera:
Aunque esto no es considerado «Ramsomware», el sentimiento de frustración que se obtiene al final es el mismo: el usuario extraviaba su información; recuperar la información era sencillo, bastaba con cambiar las opciones de visualización de Windows para «mostrar carpetas y archivos ocultos».
El Ramsomware no es tan sencillo de eliminar. Pero antes que todo:
¿Qué es el Ramsomware?
El Ramsomware es un malware que «secuestra» los archivos de usuario contenidos en un dispositivo de almacenamiento (Disco Duro o Pendrive) cifrando / encriptando con algoritmos muy sofisticados (generalmente AES-256 o RSA) y solicitando un «rescate» a modo de extorsión (generalmente dinero virtual como criptomonedas) a cambio de recuperar los archivos originales. A diferencia del método que mencioné al inicio, el Ramsomware modifica los archivos haciéndolos ilegibles.
El Ramsomware es usado por los ciberdelincuentes para robar dinero, por lo cual forma parte de las ciberextorsiones a las cuales estamos expuestos en Internet. Existen cientos de variaciones del Ramsomware y cada uno de ellos depende del ingenio de los ciberdelincuentes; pero en su mayoría este es el ciclo de vida del Ramsomware:
- Infección
- Persistencia (Run)
- Notificación (Beacon)
- Escaneo y Encriptación
- Spread
1. Infección
La infección puede ser por diversos medios, puede ser por un Pendrive (USB) infectado, una máquina infectada en nuestra red o por ejecutar programas pirata o de correos falsos.
Al ejecutarse el virus intentará ejecutarse con privilegios elevados, algo que casi siempre el usuario otorga, posteriormente buscará si no existe una instancia previamente instalada del virus, en caso contrario desplegará las actividades para instalarse. A veces el ataque puede ser con múltiples malwares, siendo uno de los más recurrentes para esta fase un «downloader». Este malware descargará una versión del Ramsomware en Internet y la ejecutará.
La razón de lo anterior es que es más difícil para los antivirus identificar acciones por eurística cuando existen múltiples aplicaciones con funcionalidades separadas, por ejemplo: Un downloader funciona exactamente igual que un sistema de Uptates de cualquier software, sin embargo, un downloader analizará la marca de antivirus que tenemos instalado para descargar una versión de Ramsomware que no se encuentre en las firmas del antivirus que tenemos instalado.
2. Persistencia
Si el Ramsomware se encuentra FUD (Fully undetectable) y logra ejecutarse después de la fase uno, entonces intentará generar persistencia (Loader) para ello, existen diversos métodos pero usualmente se utilizan los siguientes:
- Añadiendo un valor al registro de Windows (SOFTWARE\Microsoft\Windows\CurrentVersion\Run)
- Copiándose al directorio del Menú inicio (C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp)
- A través de la modificación de programas existentes instalados (DLL injections o Joiners)
Logrado el «Loader» se copiará a folders del sistema con nombres que sean similares a procesos o servicios conocidos, dependiendo el sistema operativo, intentará deshabilitar opciones de gestión como el administrador de tareas y también intentará deshabilitar el Firewall por medio de una terminal oculta (netsh firewall set opmode mode=disable) o en su defecto agregar reglas personalizadas que permitan la comunicación con los servidores malandros.
3. Notificación (Beacon)
Posterior a instalarse y ejecutarse, el malware intentará enviar su estado a los servidores malandros así como datos sobre la computadora infectada. Los malwares avanzados encriptan su propia comunicación (AES, 3DES, XOR o RSA) y en algunas ocasiones utilizan certificados digitales autofirmados para transferir la información.
La información que pueden enviar a los servidores es variable y depende de los programadores del Ramsomware, pero en general se considera:
- ID de la victima
- Dirección IP
- Sistema Operativo
- Lista de discos así como su tamaño
Esto sirve ya que los delincuentes informáticos utilizan servidores en donde se almacenan las claves de encriptación las cuales sirven para regresar los archivos a su forma original. Esto quiere decir que el Ramsomware, comprobará cada determinado tiempo el estatus del «pago» y en caso de encontrar un pago, procederá a la desencriptación de los archivos.
Al final y si la comunicación con el servidor es correcta entonces procederá al paso número 4. Sin embargo, cabe mencionar que en algunas ocasiones el Ramsonware resulta ser «falso», esto quiere decir que sus programadores en realidad, nunca tuvieron la intención de «ofrecer el servicio» para desencriptar la información de forma automatizada, estos resultan ser los más peligrosos, ya que la información prácticamente se encuentra perdida.
Pero de igual manera puede suceder que los malandros, te proporcionen un ejecutable externo al Ramsomware el cual almacenan en una cuenta de mega, Google drive o Dropbox, y que «repondrá» los archivos a su forma original, esto después de que ellos comprueben que hayas hecho el depósito. O también puede ocurrir que el servidor malandro donde ellos llevaban la gestión haya sido suspendido por el proveedor, al darse cuenta del uso indebido que le daban, lo que haría aún más difícil la desencriptación de los archivos originales.
4. Escaneo y Encriptación
Justo en este momento inician las actividades «core» por el cual se conoce mundialmente al Ramsomware. Inicialmente el malware matará (Killing) todos los procesos que pudieran tener «bloqueados» o abiertos los archivos en ese momento (winword.exe, excel.exe, outlook.exe, powerpnt.exe por ejemplo), pero incluso aplicaciones de bases de datos como:
- msftesql.exe
- sqlagent.exe
- sqlbrowser.exe
- sqlservr.exe
- sqlwriter.exe
- mysqld.exe
- mysqld-nt.exe
- oracle.exe
- ocssd.exe
- dbsnmp.exe
- synctime.exe
Después de cerrar todas las aplicaciones el Ramsomware intentará eliminar los «volume shadow copies» (básicamente los snapshots de restauración de Windows) de tal manera que no se puede utilizar esta opción posterior a cifrar los archivos del usuario.
Justo después empezará el escaneo de archivos a cifrar, generalmente esto se hace mediante el escaneo de las unidades disponibles al momento identificando las extensiones, las cuales pueden ser pero no se limitan a:
1cd 3ds 3fr 3g2 3gp 7z accda accdb accdc accde accdt accdw adb adp ai ai3 ai4 ai5 ai6 ai7 ai8 anim arw as asa asc ascx asm asmx asp aspx asr asx avi avs backup bak bay bd bin bmp bz2 c cdr cer cf cfc cfm cfml cfu chm cin class clx config cpp cr2 crt crw cs css csv cub dae dat db dbf dbx dc3 dcm dcr der dib dic dif divx djvu dng doc docm docx dot dotm dotx dpx dqy dsn dt dtd dwg dwt dx dxf edml efd elf emf emz epf eps epsf epsp erf exr f4v fido flm flv frm fxg geo gif grs gz h hdr hpp hta htc htm html icb ics iff inc indd ini iqy j2c j2k java jp2 jpc jpe jpeg jpf jpg jpx js jsf json jsp kdc kmz kwm lasso lbi lgf lgp log m1v m4a m4v max md mda mdb mde mdf mdw mef mft mfw mht mhtml mka mkidx mkv mos mov mp3 mp4 mpeg mpg mpv mrw msg mxl myd myi nef nrw obj odb odc odm odp ods oft one onepkg onetoc2 opt oqy orf p12 p7b p7c pam pbm pct pcx pdd pdf pdp pef pem pff pfm pfx pgm php php3 php4 php5 phtml pict pl pls pm png pnm pot potm potx ppa ppam ppm pps ppsm ppt pptm pptx prn ps psb psd pst ptx pub pwm pxr py qt r3d raf rar raw rdf rgbe rle rqy rss rtf rw2 rwl safe sct sdpx shtm shtml slk sln sql sr2 srf srw ssi st stm svg svgz swf tab tar tbb tbi tbk tdi tga thmx tif tiff tld torrent tpl txt u3d udl uxdc vb vbs vcs vda vdr vdw vdx vrp vsd vss vst vsw vsx vtm vtml vtx wb2 wav wbm wbmp wim wmf wml wmv wpd wps x3f xl xla xlam xlk xlm xls xlsb xlsm xlsx xlt xltm xltx xlw xml xps xsd xsf xsl xslt xsn xtp xtp2 xyze xz zip
En ese momento el Ramsomware encriptará el archivo del usuario añadiendo un archivo que puede ser html o txt que se llame igual que el archivo original, sin embargo dentro de ésta, se encuentran las instrucciones para conectarse a un sitio web en la red TOR y en donde se detallarán las instrucciones para el «rescate».
Cada delincuente informático tiene sus métodos para extorsionar, pero el método más común será la solicitud de una transferencia de Bitcoins (los BitCoins son una moneda criptográfica, descentralizada) y al día de hoy 1 Bitcoin es igual a $139,927.05 pesos mexicanos.
Al finalizar la encriptación de archivos enviará el estatus al servidor malandro. En este punto hemos perdido nuestros archivos.
5. Spread
Por último pero para nada menos importante, el malware intentará propagarse, y esto lo hace de diferentes formas:
- Por medio de pendrives (USB) conectados a la computadora infectada.
- Por medio de ZeroDays (vulnerabilidades que por lo general son desconocidas para la gente y el fabricante del producto, es decir aún no hay parches) y el cual el malware pueda explotar dentro de la red del usuario a otras computadoras.
- Por medio de Carpetas compartidas y sistemas de almacenamiento en la nube (Google Drive, Dropbox, OneDrive, etc.)
- Robo y suplantación de cuentas de correo electrónico.
El Ramsomware se hizo famoso gracias a esta fase, el Spread el 12 de mayo de 2017 WannaCry infectó a más de 230,000 computadoras en más de 150 países, esto fue gracias a una vulnerabilidad de tipo Zero-Day (en aquel momento) llamada EternalBlue (CVE-2017-0144) el cual fue desarrollado y explotado por nada más y nada menos que la Agencia de Seguridad Nacional de los Estados Unidos (NSA).
Esta vulnerabilidad que explotaba el WannaCry, permitía propagarse por la red y debido a que no existían parches, fue muy fácil propagarse.
Caso PEMEX
La noticia del mes, en resumen, se infectaron con Ramsomware y los ciberdelincuentes pedían 565 bitcoins, que equivalen a $79,011,982.52, pero cerraremos en $80 millones de pesos mexicanos.
¿Qué es lo preocupante de esto? simple, que no estamos preparados para una guerra informática, somos vulnerables. PEMEX ofrece una gran cantidad de empleos directos e indirectos y contribuye, con un 37% de los ingresos del sector público del país según el INEGI; eso quiere decir que si PEMEX fuera secuestrado en su totalidad, México tendría serios, pero muy serios problemas económicos y sociales.
Lo peor de lo anterior es que probablemente el ataque no fue dirigido, es decir, que se infectaron «sin querer», por un usuario descuidado o un evento desmedido, pero si un país con ejércitos informáticos decidiera atacarnos…bueno… bye bye México.
En la actualidad existen Tecnologías con inteligencia artificial que permiten la identificación de ataques más allá de la eurística y que por lo suscitado, parece que PEMEX carece de ello.
¿Qué debo hacer si me infecto con Ramsomware?
Depende, si te has percatado que tus archivos están siendo encriptados, pero no han sido todos en tu computadora apágala inmediatamente (botonazo), ya que si lo haces con la opción de apagado normal el Ramsoware podría evitar el apagado desde Windows y no se podrá apagar.
Posteriormente no la enciendas, lo más recomendable es que lo lleves a un centro de reparación de equipos especializado y les indiques que tu máquina tiene Ramsomware, pero que interrumpiste el proceso de Encriptación, entonces ellos deberán extraer el disco duro y tratarán de extraer la información que no le dio tiempo al malware de ser encriptada. Si tu equipo se encendiera de nuevo se completaría la encriptación dejándote sin archivos.
Si no corriste con tanta suerte, evita que alguien más se infecte y desconecta inmediatamente tu computadora de la red apaga tu tarjeta de red si es WIFI o desconecta el cable de red si es Ethernet.
Si has llegado hasta este punto significa que tu antivirus no tiene la firma del malware, por lo que puede ser variante de un Ramsomware existente o ser uno nuevo. Si es un Ramsomware nuevo, lamento informarte que no habrá forma de desencriptarlo.
En caso que fuera una variante, existe una posibilidad pero es lejana, de poder recuperar tus archivos; cabe mencionar que aunque instalaras un antivirus en este punto que SI detectara el Ramsomware, no tendrá la capacidad de recuperar tus archivos originales. Únicamente tendrá la capacidad de eliminar el malware de tu equipo evitando que encripte más archivos de tu sistema.
Identifica que Ramsomware tienes, para ello elige cualquier archivo encriptado y súbelo a https://id-ransomware.malwarehunterteam.com el servicio es gratuito y no servirá para recuperar tus archivo pero si para informarte el Ramsomware que tienes.
Para intentar recuperar tus archivos ingresa a https://www.nomoreransom.org/es/index.html y sube cualquier archivo encriptado/cifrado, si corres con mucha suerte, los astros se alinean y Dios se apiada de tu alma, existirá una herramienta de descifrado para tu Ramsomware.
Actualmente y gracias al proyecto NoMoreRansom es posible desencriptar/descrifrar los siguientes Ramsomwares:
777, AES_NI, Agent.iih, Alcatraz, Alpha, Amnesia, Amnesia2, Annabelle, Aura, Aurora, AutoIt, AutoLocky, Avest, BTCWare, BadBlock, BarRax, Bart, BigBobRoss, Bitcryptor, CERBERV1, Chimera, Coinvault, Cry128, Cry9, CrySIS, Cryakl, Crybola, Crypt888, CryptON, CryptXXXV1, CryptXXXV2, CryptXXXV3, CryptXXXV4, CryptXXXV5, CryptoMix, Cryptokluchen, DXXD, Damage, , Democry, Derialock, Dharma, EncrypTile, Everbe1.0, FenixLocker, FilesLockerv1andv2, FortuneCrypt, Fury, GalactiCryper, GandCrab(V1,V4andV5uptoV5.2versions), GetCrypt, Globe, Globe/Purge, Globe2, Globe3, GlobeImposter, Gomasom, HKCrypt, Hakbit, HiddenTear, HildaCrypt, Iams00rry, InsaneCrypt, JSWorm2.0, JSWorm4.0, Jaff, Jigsaw, LECHIFFRE, LambdaLocker, Lamer, Linux.Encoder.1, Linux.Encoder.3, Loocipher, Lortok, Mac, Marlboro, MarsjokeakaPolyglot, MegaLocker, MerryX-Mas, MirCop, Mira, Mole, Muhstik, Nemty, Nemucod, NemucodAES, Nmoreira, Noobcrypt, Ozozalocker, PHPware, Paradise, Pewcrypt, Philadelphia, Planetary, Pletor, Popcorn, Puma, Pylocky, Rakhni, Rannoh, Rotor, SNSLocker, Shade, Simplocker, Stampado, Syrk, Teamxrat/Xpan, TeslaCryptV1, TeslaCryptV2, TeslaCryptV3, TeslaCryptV4, Thanatos, Trustezeb, WannaCryFake, Wildfire, XData, XORBAT, XORIST, Yatron, ZQ, ZeroFucks y djvu
Si ya sabes que Ramsomware tienes puedes descargar las herramientas de descifrado aquí: https://www.nomoreransom.org/es/decryption-tools.html
Si has llegado hasta este punto y no corriste con suerte, no hay mucho que puedas hacer al respecto. NO voy a sugerirte que realices el pago por el rescate, jamás, ya que de hacerlo y realizaras el pago, estás arriesgando tu propia economía ya que no hay ninguna certeza de que los delincuentes informáticos vayan a descifrar tus archivos.
Por último, y si nada de lo anterior funcionó lo único que queda por hacer es que extraigas tu disco duro y en otra máquina intentes recuperar tus archivos con softwares como «Recuva», «Easy recovery» o similares. Es difícil que funcione, pero peor es nada.
En caso que usaras Dropbox o Google Drive y ya estén encriptados tus archivos, tienes la maravillosa opción de ver «versiones anteriores» de tus archivos, solo debes entrar al portal web de cada uno para ubicarlos.
Y en caso que no puedas recuperar la originalidad de tus archivos, no los borres, respáldalos , tal vez en un futuro exista una herramienta que permita traerlos de vuelta.
¿Qué debo hacer para prevenir el Ramsomware?
El peor enemigo de cualquier malware es la prevención, pero no me iré con rodeos sobre temas que hemos tocado anteriormente, así que estas son los puntos que debes tener en consideración para evitar el Ramsomware:
Ten un respaldo de tu información In-Cloud
Existen cientos de opciones en Internet, pero las más usadas son Dropbox, Google Drive o OneDrive de Microsoft, estas herramientas te permiten tener sincronizada tu información y en caso que te infectes con Ramsomware, tienes la ventaja de visualizar versiones anteriores de tus archivos.
Son gratuitas pero sus planes son económicos y así como compartes tu cuenta de NetFlix/Spotify, deberías considerar tener una de ellas.
Ten un respaldo en físico en un dispositivo externo
Siempre es bueno tener un respaldo en un dispositivo de almacenamiento externo a nuestra computadora, como un Pendrive (USB) o un disco duro externo, la ventaja es que esa información podemos cifrarla con: Veracrypt, Ciphershed, DiskCryptor.
Ten un respaldo en un NAS
No es económico, pero como dije en el punto uno, si en casa hay varios equipos informáticos o en tu empresa no hacen respaldos, adquirir un NAS que funcione por RED es la mejor opción, funcionan al igual que Dropbox, pero físicamente tenemos acceso a él.
Tener un nivel básico de seguridad
Y no podía faltar mis recomendaciones de siempre:
- Contrata un antivirus, los hay desde $200 pesos al año con licencia hasta para 3 equipos, como el Antivirus COMODO
- Identifica el correo falso y protégete de el
- No instales software pirata, incluido juegos.
- Cuida tu navegación en Internet.
Mi conclusión es simple: Si llegaste hasta este post, probablemente te tocó la mala, aprende de tus errores y no los cometas de nuevo, recuerda que no hay mejor seguridad que la prevención personal.
