En los últimos años hemos visto una nueva familia de virus computacionales aparecer y florecer: los ransomware. Hay muchas variantes, los más conocidos son: TeslaCryp, CryptoWall, TorrentLocker, PadCrypt, … entre muchos otros.
Los ransomware toman nuestros archivos como rehén y nos obligan a pagar un rescate (en inglés ransom, de ahí el nombre) por recuperarlos. Particularmente encriptan nuestros documentos, fotos y hasta música y nos cobran por desencriptarlos.
La manera en la que operan (explicado para que mi Mamá lo entienda) es mediante un proceso similar a traducir todos nuestros archivos. O sea, es como que alguien hubiese inventado un idioma y tradujera todos nuestros documentos a ese idioma. Nosotros aún tenemos los documentos, pero no podemos entenderlos y ya no nos sirven. La única opción que nos da este traductor malicioso es que le paguemos para traducir de nuevo nuestros documentos al idioma original. El precio varía pero en promedio es de 300.000 pesos ($500 USD).
El IC3 (unidad especializada del FBI en cibercrimen) recomienda las siguientes medidas para prevenir este problema:
Usar siempre antivirus y firewalls: es importante obtener y usar programas de antivirus y firewalls de compañías conocidas en el mercado. También es importante mantener estos actualizados constantemente, preferentemente de manera automática.
Activar bloqueadores de popups en el navegador: los popups son usados frecuentemente por criminales para esparcir programas maliciosos. Para evitar clicks accidentales en popups es mejor evitar que estos aparezcan.
Ser escéptico y cauteloso en lo que se recibe: no abrir ni hacer click en nada que no se reconozca y que no se está 100% seguro de lo que es.
Lamentablemente todas estas medidas son solamente para evitar la infección, pero como sabemos, los virus informáticos van evolucionando en las estrategias que utilizan y es prácticamente imposible llevarles el ritmo. Por ello, la única alternativa efectiva en términos de costos y de seguridad de los datos es siempre mantener un respaldo de tu información: Si mantienes copias de tus archivos donde el programa no pueda alcanzarlas (como en nuestra nube, estimados clientes ustedes pueden dormir tranquilos) el impacto será muy limitado. El traductor malicioso puede quedarse con su copia en Jerigonzo, de todos modos nosotros tenemos una copia en el idioma original.
En este punto las opciones son limitadas. Lo primero es apagar el dispositivo infectado para limitar el daño y realizar una copia de los archivos que aún no han sido encriptados. Por desgracia los virus modernos son muy astutos y probablemente nos daremos cuenta de su presencia cuando ya es demasiado tarde. Con algo de suerte el virus no se esparcirá por el resto de la organización ni afectará los servidores de archivos.
El FBI ha recomendado simplemente pagar a los terroristas que nos infectaron y cruzar los dedos, dando como argumento que probablemente no tenemos opción de descifrarlos por nuestros medios.
Finalmente, la mejor alternativa es formatear el computador y recuperar nuestra información desde un respaldo justo antes de que nos infectáramos. He aquí por qué uno quiere almacenar versiones de los archivos, porque queremos poder volver atrás en el tiempo y recuperar nuestros archivos antes de que fuesen “traducidos” (el término técnico es encriptados).
En lo que va del mes de Mayo en Cloner casi el 1% de nuestros usuarios se han infectado con alguna variante de ransomware. Los clientes infectados habrían perdido en promedio 28.5 GB cada uno si no hubiesen tenido un respaldo al día al momento de la infección. Este número es preocupante, pues ha ido en aumento este año y la cantidad de información comprometida es increíblemente alta. Por ejemplo, en promedio cada uno de nuestros usuarios tuvo en riesgo el equivalente a 88.000 archivos de Office (muchas horas escribiendo)!
Por otra parte estos números en otros países cambian un poco por ejemplo un estudio de la Universidad de Kent en Inglaterra estima que durante el 2013 casi uno de cada 30 (3,4%) usuarios fue víctima de un ransomware y cerca del 40% optó por pagar el rescate solicitado.
A pesar de que estos ataques se empezaron a conocer cerca del 2013 la amenaza para nosotros es vigente hoy porque los ataques se empiezan a dirigir hacia nuevos horizontes donde este tipo de ataque no es conocido aún y existe una gran cantidad de usuarios incautos. Una demostración notable de esto es que algunos ransomware ya cuentan con traducciones al español de los mensajes utilizados para pedir el rescate.
La amenaza del ransomware está cada día más presente, causando elevados costos monetarios y malestar. La única medida efectiva para combatirla es contar con respaldos diarios en infraestructura fuera del alcance de los virus. Esto se traduce a quemar diariamente los datos de todos nuestros usuarios a un CD (vaya biblioteca que nos haríamos a la semana) o utilizar una solución de software que contemple este tipo de vectores (ehm, ehm, como Cloner!).
https://blogs.technet.microsoft.com/dangl/2012/10/18/what-is-the-average-size-of-an-office-document
https://ransomwaretracker.abuse.ch/statistics
https://www.cybersec.kent.ac.uk/Survey2.pdf
https://www.kent.ac.uk/news/science/528/cryptolocker-victims-pay-out
https://nakedsecurity.sophos.com/2015/10/28/did-the-fbi-really-say-pay-up-for-ransomware-heres-what-to-do
https://www.ic3.gov/media/2015/150623.aspx
Estás a un paso de conseguir el respaldo que necesitas. Nunca volverás a preocuparte por tu información.