Durante el año paso, el Laboratorio de Investigación de ESET Latinoamérica alertó sobre el aumento de los Filecoders, troyanos que cifran la información de los usuarios, para luego exigir el pago de un rescate a cambio de la misma. Recientemente se ha descubierto una nueva familia de códigos maliciosos de este tipo, que se presenta como Cryptolocker 2.0.
La evolución de estos códigos maliciosos, del tipo ransomware, radica en el uso de algoritmos cada vez más complejosque imposibilitan o dificultan la recuperación de los archivos. Frente al aumento de este malware, ESET recomienda seguir los siguientes consejos:
• Mostrar las extensiones de archivo ocultas: por defecto, Windows oculta las extensiones de archivo conocidas. Aprovechándose de eso, una de las formas en las que se propaga Cryptolocker es a través de archivos con la extensión “.PDF.EXE”. Activando la posibilidad de ver la extensión completa de un archivo, puede ser más fácil detectar cuándo se trata de alguno sospechoso.
• Filtrar los archivos .EXE en el mail: si el gateway del correo tiene la posibilidad de filtrar archivos por extensiones, se puede optar por denegar aquellos que se envíen con “.EXE” o por denegar mails que contengan dos extensiones, siendo la última ejecutable. Una alternativa sería reemplazar los ejecutables con archivos ZIP protegidos con contraseña, o a través de servicios en la nube.
• Desconectarse de Internet: en caso de ejecutar un archivo que se sospecha puede ser ransomware, si todavía no apareció la típica pantalla de bloqueo pidiendo el rescate y si se actúa con rapidez, es posible detener la comunicación con el Centro de Comando y Control antes de que el malware termine de cifrar los archivos. Si se desconecta el equipo de la red de forma inmediata, es posible mitigar el impacto del ransomware.
• Deshabilitar cualquier usuario por defecto que no esté en uso dentro del sistema.
• Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. De existir esta protección, sería más complejo para la infección ejecutarse exitosamente.
• Realizar auditorías de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.
“Remarcamos la importancia de tener un backup de los datos adecuado, ya que es la única manera de combatir elransomware. Y por supuesto, recomendamos a los usuarios que actualicen sus soluciones de seguridad y las protejan con contraseñas fuertes”, dijo Róbert Lipovský, Malware Researcher de ESET.
El funcionamiento de la nueva familia de malware detectada por ESET es el siguiente: después de la infección, escanea la estructura de carpetas de la víctima en busca de archivos que coincidan con un conjunto de extensiones; luego se los cifra y se muestra una ventana de mensaje que exige un rescate para descifrarlos.
En septiembre, el Equipo de Laboratorio de ESET había detectado a Cryptolocker, un código malicioso con un funcionamiento similar pero que presenta diferencias en las implementaciones y en el lenguaje de programación utilizado con respecto a este nuevo ransomware.
“Cryptolocker parece estar más orientado a usuarios corporativos ya que no cifra los archivos de música, imagen y video, mientras que Cryptolocker 2.0 sí incluye en su lista de objetivos extensiones de archivo como .mp3, .mp4, .jpg, .png, .avi, .mpg, entre otras”, aseguró Róbert Lipovský, Malware Researcher de ESET.
El ransomware se está consolidando en América Latina y ya existen varios usuarios afectados en la región. Entre ellos se destaca Multi Locker, y México como el país más afectado por este tipo de malware. Nymaim es otro código malicioso que afecta a dicho país y que solicita una suma de dinero que asciende a los 150 dólares aproximadamente por el rescate del equipo.