Amenaza CryptoLocker | La Importancia del Backup

Aitana Soluciones ERP y CRMCloud Leave a Comment

En los últimos meses estamos viendo como algunos de nuestros clientes han sido infectados por un malware llamado cryptolocker. La infección que provoca es muy grave, ya que no es el típico virus que hace que el ordenador funcione lento o se conecte a páginas web. Este malware, como indica su nombre, se encarga de encriptar todos los ficheros accesibles por el PC infectado. Es un malware creado a finales del 2013 pero que está actuando cada vez más en España.

¿Cómo se distribuye?

Por nuestra experiencia, en todos los casos la infección ha llegado por correo electrónico, camuflado como un mensaje de correos, indicando que existe un paquete pendiente de recoger (aunque podría obtenerse de otras formas en un futuro).

El mensaje viene bien redactado e incluso con el nombre y apellidos del destinatario. Para la verificación del paquete nos pide descargar un adjunto o ejecutar un enlace que nos descargará un fichero, que al ejecutarse infectará el ordenador. El adjunto del correo puede venir como un zip adjuntado al correo y en su interior un ejecutable con un icono y tipo de archivo que lo hacen parecer un pdf.

¿Por qué es tan peligroso?

Continuamente sacan nuevas versiones del mismo y se realizan envíos de email masivos con nueva versión que los antivirus no detectan.

En uno de nuestros clientes, los técnicos de MCAfee estuvieron conectados a sus instalaciones para extraer el patrón del virus y poder crear una vacuna eficaz contra el mismo, que sacarían días después para el resto de usuarios de MCAfee a nivel mundial.

¿Cómo funciona?

Una vez activado, comienza a cifrar usando criptografía RSA de clave pública, guardándose la clave privada en los servidores de malware, haciendo por tanto imposible el descifrado de los archivos.

Se infectan muchos tipos de archivos (ficheros de word, excel, fotos, bases de datos, ficheros de backup, etc ) del pc infectado y de todo aquello que pueda acceder a modificar en el entorno de red del equipo.

En el PC infectado normalmente aparece una pantalla avisando al usuario de que ha sido infectado, y se encuentra con todos los ficheros encriptados con extensión «.encrypted» (en lugar de .xls o .docx) que será imposible abrir. Además en cada carpeta encriptada nos dejarán un par de ficheros , instrucciones.txt e instrucciones.html donde nos indican los pasos a seguir si queremos recuperar la información, que básicamente se trata de enviarles dinero para que nos faciliten un programa que realice la desinfección.

Además nos dan un tiempo para pagar (según el caso unos 3 días), pasado el cual informan que se duplicará la cantidad a pagar. Además pasado unos días más nos indican que la información será imposible de descifrar.

¿Cómo recupero mis datos?

  1. A) Copias de seguridad.

La única forma conocida que funcionará seguro es apagar el PC infectado y rescatar todos los datos desde las copias de seguridad.

  1. B) Pagar la extorsión.

Aunque no se recomienda, en caso de desesperación y no tener forma de recuperar la información, es posible que tengamos suerte y pagando consigamos de vuelta nuestros datos. Por nuestra experiencia el rescate que nos piden ronda los 300€.

Para evitar ser localizados, los hackers nos piden realizar el pago mediante bitcoins. Esta forma de pago, es un peer to peer, se envía dinero directo entre usuarios de modo instantáneo a través de internet y sin que intervenga ningún banco o entidad mediadora. Evitando así dejar rastro alguno.

En el proceso, es necesario primero comprar bitcoins en internet, mediante una transferencia bancaria a alguien que nos los venda y después hacer la transferencia de los mismos a la cuenta de bitcoins que nos indican los hackers.

Una vez realizado el pago (y si hemos tenido suerte…) actualizamos la página que nos indican los hackers y aparece un archivo que descargamos y al ejecutar comienza a desencriptar.

En uno de los casos se decidió pagar y se recuperaron los datos, pero obviamente los hackers no te dan recibo ni garantía alguna de que después de realizado el pago vayas a poder recuperar tu información, normalmente te quedarás sin datos y sin dinero.

¿Qué hacer ante la amenaza?

  • Mantener copias de seguridad correctas y probadas de todo lo que queramos conservar en caso de ocurrir el desastre (pensar en la ubicación de las copias deberán estar protegidas para no ser infectadas). Una vez ocurre es cuando estar haciendo diariamente copias o pagar por un buen software de copias de seguridad cobra todo el sentido.
  1. Mantener actualizados sistemas antivirus.
  2. Dar acceso de escritura en carpetas compartidas sólo a lo necesario.
  3. Educar a los usuarios para que estén alerta.

No contar con una estrategia de Backup eficiente causa perdidas millonarias a empresas. En Aitana disponemos de 4 productos que pueden contribuir con la seguridad y el resguardo de tus datos:

  • Aitana Backup Onsite Box
  • Aitana Data Custody
  • Aitana Online Backup Vault
  • Aitana HA Center

¿Sabes si están seguros los datos de tu empresa?, Conoce los Servicios de Protección de Datos de Aitana y cerciórate de tenerlo todo bajo control 😉

Si deseas recibir más información no dudes en contactar con nosotros ¡Estaremos encantados de ayudarte:

Deja un comentario