Llegamos a ustedes gracias a:



Reportajes y análisis

CryptoLocker: Mejores prácticas para escapar de este infierno

[10/12/2013] Se trata de una pesadilla de TI: Las empresas afectadas con el malware CryptoLocker encuentran que sus archivos electrónicos están encerrados dentro de una fuerte encriptación, y el extorsionador que opera la red de bots maliciosos exige dinero para darles la clave de seguridad que permitiría que las empresas tengan sus datos de regreso.
¿Qué hacer para escapar de este infierno de cifrado de ransomware? Algunas corporaciones detallan aquí sus experiencias con el desagradable malware y señalan que en muchos casos las copias de seguridad y restauración fueron su única salida.
"Mi gerente de tienda estaba tratando de abrir un archivo y su computadora le mostraba un mensaje de error de cifrado", señala Chris Albrecht, director oficial al WC Machine & Tool, sobre el choque de descubrir que CryptoLocker había golpeado a la firma de ingeniería y fabricación de metales en la que él trabaja. "Tratamos con otros archivos en la red", incluyendo aquellos que estaban en un servidor de almacenamiento, pero todos parecían ser inaccesibles. "Todo lo que se veía era la nada".
Lo que pasó hace un par de semanas en WC Machine & Tool con sede en Chandler, Arizona, es que alguien abrió un e-mail con CryptoLocker en el archivo adjunto. El ransomware entonces se extendió agresivamente para infectar las computadoras basadas en Windows y cifrar archivos dondequiera que pudiera.
WC Machine & Tool inmediatamente se contactó con su proveedor de servicios de TI, Mytek Network Solutions, y su administrador de cuentas, Theo Soumilas, señala que era evidente que se habían encriptado decenas de miles de archivos de modo que WC Machine & Tool no podía acceder a ellos. En un momento dado, hubo algún tipo de mensaje de extorsión que pedía dinero a cambio de la clave de cifrado, pero nadie estaba de acuerdo con eso.
Se decidió que básicamente era necesario "volcar" todo el contenido de archivos encriptados y volver a realizar la instalación de archivos de red a través de copias de seguridad y restauración. WC Machine & Tool hace copias de seguridad todos los días con su proveedor de la nube, Axcient, y la restauración se completó durante varias horas un fin de semana.
Otro cliente de Axcient, la firma de abogados con sede en Washington, Pensilvania, de Yablonski, Costello & Leckie, también tuvo un encuentro inquietante parecido con el ransomware CryptoLocker durante las últimas semanas.
En cuanto a lo que la firma de abogados puede discernir, señala el abogado J. Scott Leckie, todo comenzó cuando otro abogado de la firma estaba en su computadora personal, conectado a la red corporativa, y al parecer abrió un archivo adjunto de e-mail que contenía CryptoLocker.
"De repente, su computadora portátil se volvió negra", señala Leckie. Entonces, de repente otros en la firma de abogados también fueron 'encerrados' fuera de sus equipos basados en Windows. El bufete de abogados llamó a su firma de soporte técnico, Ceeva, y "les dijimos que algo estaba mal aquí, pero no sabíamos qué", añade Leckie.
CryptoLocker había golpeado una vez más, esquivando el filtro anti malware y anti spam de Symantec, señala Rick Topping, vicepresidente de Ceeva. CryptoLocker es tan "dinámico", comentó Topping, a veces logra evadir el software anti-malware. Ceeva también encontró que era necesario pasar por un proceso de copia de seguridad y restauración para recuperar sus archivos, que en este caso duró medio día.
Leckie señala que combatir a CryptoLocker fue una experiencia perturbadora. Hacer la copia de seguridad de los datos es fundamental para el funcionamiento de la empresa, señaló, y añadió, que le hace feliz que en su bufete de abogados, "todavía estamos ahorrando papel".
Las empresas anti-malware preguntaron sobre CryptoLocker y lo que vieron de eso, ya que se observó por primera vez en el marco temporal de septiembre y dicen que está dirigido principalmente a los EE.UU. a través de correo electrónico de phishing y probablemente se ejecute como una operación criminal de una banda que habla ruso.
CryptoLocker "mayormente se dirige a la gente de habla inglesa" sobre todo en los EE.UU., pero también en el Reino Unido, Australia y Canadá, señala Jerome Segura, investigador senior de seguridad de Malwarebytes.
Debido a que CryptoLocker utiliza cifrado AES de 256 bits para encerrar a los datos de las víctimas, no es posible romperlos manualmente, concuerdan los investigadores de malware. La mejor manera de asegurarse de que puede recuperar los datos, es utilizar una muy buena copia de seguridad de una manera que evite la infección directa por CryptoLocker. "Y que el servicio de copia de seguridad tenga copias de seguridad de sus copias de seguridad", señala Adam Wosotowsky, arquitecto de datos en mensajes de McAfee.
Los extorsionadores de CryptoLocker prometen enviar la clave privada de cifrado para desbloquear los datos cifrados a través de su sistema de comando y control a base de botnet, si se les paga, por lo general 300 dólares, a través de Bitcoin. Pero a veces la clave de cifrado no se entrega de todos modos, aunque solo sea porque el sistema automatizado de CryptoLocker ha puesto límites de tiempo en la respuesta a las víctimas.
Trend Micro ha contabilizado que eso suele ocurrir en 72 horas. Pero eso está sujeto a cambios, por supuesto. El gerente de comunicaciones de amenazas de Trend Micro, Christopher Budd, señala que CryptoLocker prueba todos los trucos posibles para ser evasivo, así que a veces el software antimalware lo detecta y detiene, y otras veces no.
La firma de antimalware, Bitdefender, dijo el mes pasado que ha seguido el funcionamiento de CryptoLocker a través del "sinkholing" de sus servidores de comando y control de botnets, determinando que tan solo el 27 de octubre y 01 de noviembre, CryptoLocker logró golpear 10 mil víctimas.
Razvan Stoica, especialista en comunicaciones en Bitdefender, señala que los objetivos de CryptoLocker parecen ser casi exclusivamente de los EE.UU. No se sabe el por qué, pero tal vez, "ahí es donde está el dinero". El rápido cambio de la infraestructura de control y mando de CryptoLocker, sin embargo, vive principalmente fuera de los EE.UU. en los servidores de Rusia, Alemania, Kazajstán y Ucrania. Un número de investigadores de malware piensa que la policía con el tiempo va a atrapar a estos ciber-criminales que operan CryptoLocker, tal vez mediante un seguimiento a través del sistema de Bitcoin.
CryptoLocker ahora parece estar confiando únicamente en el envío de volúmenes de phishing de correo electrónico y archivos adjuntos peligrosos como una manera de tratar de engañar a la víctima para que abra un archivo adjunto y deje a CryptoLocker suelto en una organización. No parece estar siendo utilizado como un ataque dirigido contra empresas específicas, pero está llegando en oleadas con los típicos engaños de spam, como si viniera de FedEx o UPS, según algunos investigadores.
CryptoLocker no es la primera ransomware que infecta las computadoras de los usuarios. Otro tipo de ransomware, llamado el FBI Virus, que puede golpear a una PC Windows o Apple Mac para quitarle el control al usuario, tuvo un nuevo giro esta semana. Según el investigador de Malwarebytes, Segura, la versión Mac OS X del ransomware ahora exige una tarifa adicional por encima de la primera demanda de 300 dólares. La segunda demanda dice que tiene sus antecedentes penales y que los eliminará por 450 dólares, señala.
Es una mala idea responder al chantaje. Y es posible deshacerse del FBI Virus, aunque es mucho más duro en una PC con Windows que en una Mac de Apple, donde existe más como una infección del navegador.
Ellen Messmer, Network World (EE.UU.)