JUN
VIRUS – La importancia de las copias de seguridad externas
06/06/2016 
10:44:14
Administrador 
Sin comentarios
Herramientas
CryptoWall, el virus que secuestra los archivos de datos
Esta no es una nueva amenaza, de hecho hace años que existe este tipo de malware. CryptoWall, CrypoFortress, CryptoDefence o CryptoLocker son variantes que han ido apareciendo a lo largo del tiempo.
Se trata de troyanos que actúan como secuestradores de software (ramsomware) y últimamente están causando estragos a empresas y particulares, intentaremos explicar qué daños causan y cómo prevenirlos.
Métodos de infección
Lo habitual es contagiarse a través del correo electrónico, se recibe un email con un enlace o fichero adjunto y al clicar sobre ellos comienza la infección.
Los más habituales son mails de Correos, empresas de transportes, compañías aéreas con la confirmación de sus billetes de avión, y más recientemente de Endesa con una falsa factura de consumo. Están escritos en castellano y bien redactados, con un enlace para obtener más información.
También se producen contagios a través de la descarga de archivos de sitios no fiables.
Proceso de infección y consecuencias
Tan pronto se cliquea sobre el enlace o fichero, comienzan los problemas:
- Al pinchar sobre el enlace el virus se instala en el ordenador y modifica el registro del sistema para ejecutarse cada vez que lo iniciemos.
- A continuación el virus contacta con sus creadores, genera e intercambia unas claves de cifrado que son las que va a utilizar para secuestrar los archivos.
- Comienza la encriptación. Basándose en la clave de cifrado descargada, empieza a a cifrar los archivos, borrando a continuación los originales. Es decir, los archivos siguen estando en el ordenador, mantienen el mismo nombre, pero están encriptados y al no conocer la clave de cifrado no se pueden abrir, el original ha sido borrado.
Dependiendo de la versión del virus, puede llegar a encriptar todos los archivos del ordenador, los de extensión conocida doc, docx, xls, xlsx, jpg, pdf,… o archivos específicos.
Es importante saber que el virus no se queda ahí, continúa hacia todos los ordenadores y dispositivos de la red, especialmente a aquellas unidades y carpetas mapeadas en el ordenador donde se inició el contagio.
El chantaje
Es la hora del chantaje, aparece una pantalla donde se solicita una cantidad de dinero para que envíen la clave de desencriptación con claras instrucciones del proceso de pago y descifrado.
La recomendación de los expertos en seguridad es unánime, no hay que pagar a menos que sea estrictamente necesario (casi nunca). No hay seguridad de que pagando envíen clave alguna y lo que queda claro es que cediendo al chantaje se financia a delincuentes.
Eliminación del virus
Si se observa que algo está sucediendo en el ordenador, antes de que el virus actúe, apague el ordenador inmediatamente.
No lo reinicie, de hacerlo, el virus continuará infectando sus archivos.
Recuperación de los ficheros encriptados
Recomendamos que intente averiguar que ficheros se han cifrado, existe una herramienta gratuita OmniCryptofinderque le dará un informe de los archivos secuestrados.
Los ficheros encriptados no son recuperables, debe de utilizar otras maneras para intentar recuperarlos:
- La manera más importante es la Prevención, no abra ningún correo del que desconozca su procedencia o tenga la seguridad que es para usted. Si usted no tiene previsto viaje alguno ¿Por qué abrir un fichero con los billetes de su avión?
- Información. Manténgase informado de los peligros que acechan en la red. La información le previene.
- Copias de seguridad. Es la asignatura pendiente en muchas empresas. Si hay copias de seguridad actualizadas solo sufrirá el inconveniente de limpiar el sistema y reinstalarlo.
Cuidado, no sirven las copias internas (las copias que se hacen en el mismo ordenador), y es habitual que tampoco sirvan las de otro dispositivo externo ya sea USB u otro PC de la red. La prioridad del virus es la de propagarse y cualquier medio les vale.
Las copias de seguridad deben guardarse en dispositivos locales desconectados (físicamente) de los sistemas o en la nube. En definitiva, donde el virus no tenga acceso. Vea nuestra solución BMbackup.
- Mediante un Recuperador de archivos borrados. CryptoWall borra los ficheros originales, pero no lo hace mediante borrado seguro, por tanto es posible recuperar archivos si se apaga el ordenador a tiempo. Por esta razón es tan importante apagar el ordenador cuanto antes, incluso a las bravas, y no volver a encenderlo.
- Mediante el Historial de Archivos. En Windows existe una utilidad llamada Historial de Archivos que si está activada guarda en un dispositivo externo de almacenamiento copia de los archivos.
- Mediante una Utilidad de descifrado especial. En algunos casos, pocos casos, es posible descifrar los archivos secuestrados gracias a que se ha recuperado la clave en posesión de los cyber delincuentes, normalmente porque han sido detenidos. La página gratuita DecryptCryptoLocker descifra archivos secuestrados por variantes antiguas. De momento no sirve para CryptoWall.
No existe la forma definitiva de prevenir las infecciones, pero la protección minimiza el riesgo.
Es prioritario disponer de un buen antivirus y antimalware, mantenerlos actualizados y pasarlos periódicamente.
Hay otras utilidades que modifican el sistema y evitan que se puedan instalar los virus blindando el ordenador. Hay herramientas que deshabilitan los permisos aprovechados por los criptovirus para iniciarse en el arranque de Windows.
