Infección Cryptolocker
 
Unos días atrás, uno de nuestros clientes ha tenido una infección de cryptolocker, y creemos que es un buen momento para compartir la experiencia.
Primero conviene explicar que es cryptolocker:
Se trata de un malware (softwaremalicioso) del tipo ransom, cuyo objetivo es infectar nuestro sistema y encriptar todos los ficheros cuya extensión responda a una lista predefinida, por ejemplo jpg, docx, xlsx, etc.
Es decir, bloqueara nuestro acceso a imágenes, documentos de texto, hojas de calculo, facturas recibidas, bases de datos de programas de facturación, fotografiás de las ultimas vacaciones, y todo lo que sea de nuestro interés. ¿Con que fin? Ni más ni menos que el de extorsionarnos, pidiendo una cantidad económica a cambio de una clave de desencriptado y poder recuperar nuestros datos.
Como se puede ver, el perjuicio para cualquier profesional o particular es muy grande. En el caso de nuestro cliente, estuvo a punto de perder toda la facturación, datos de sus clientes, proyectos, documentación, bases de datos, de los últimos 5 años. Las exigencias de este malware eran que el extorsionado comprara moneda virtual, Bitcoin, y se conectara mediante un navegador que oculta tu rastro a Internet, para realizar una transferencia como pago por el rescate de sus datos. No perdamos de vista el hecho de que en el momento en que estas lineas son escritas, el comprar un solo Bitcoin nos costaría 382,89€, y no, no nos van a exigir medio Bitcoin. ¿Pagar sirve de algo? Bueno, obtendríamos el mismo resultado que si esta extorsión se produjera en la calle, si le pagamos al delincuente que nos amenaza, ¿que le impide volver a exigirnos mas adelante mas dinero? Entre nuestros clientes tenemos un poco de todo, los que se han negado a pagar ninguna cantidad, los que si han pagado y han recuperado su información, y finalmente los que han pagado pero se han quedado igual de encriptados. Hay que señalar que nuestra información, una vez encriptada, es casi imposible de recuperar por un medio que no sea el de obtener la clave de desencriptado. Por lo que la importancia de tener un buen sistema de respaldo en copias de seguridad de nuestro sistema, aislado del mismo, es vital. Si nos dedicamos a tener copias de seguridad conectadas permanentemente a nuestro sistema, serán encriptadas igual que los originales.
 
Volviendo al caso de nuestro cliente, este tuvo el acierto de avisarnos en cuanto tuvo constancia de que sus ficheros habían sido encriptados, efectivamente, de nada le sirve secuestrar nuestra información si no nos lo hacen saber, por lo que este malware llena nuestro sistema con avisos explicando que ha ocurrido, recomendando que no perdamos el tiempo intentando desencriptar los datos, y dándonos instrucciones concretas a seguir para realizar el pago exigido, que subirá si nos lo pensamos mucho. Una vez mas señalamos, que llegado este punto, se puede realizar una desinfección del sistema, pero si no tenemos de una copia de seguridad limpia, podemos despedirnos de nuestros datos. Lo único que jugó a favor de nuestro cliente es la prontitud con la que nos dio aviso, por lo que pudimos aconsejarle rápidamente que apagara el sistema para poder determinar hasta que punto se había extendido la infección, ya que este malware se transmite a todo lo que este a su alcance en una red de área local. Dado que el malware se delató en el primer equipo que infectó al reclamar el pago del dinero, se pudo acotar la infección apagando todos los equipos y realizando limpiezas en toda la red.
¿Nos podemos defender de este tipo de malware? Desde el punto de vista de la ingeniería social, está muy bien desarrollado, ya que se aprovecha del usuario para realizar la infección. Normalmente su principal medio de expansión es mediante correo electrónico, haciéndose pasar por hacienda, una empresa de mensajería que ha intentado hacernos una entrega, correos, utilizando alguna argucia para que descarguemos un adjunto o pinchemos algún enlace para que se realice la infección. Por lo que tendremos que estar muy atentos a los correos que recibimos, no olvidemos que el sentido común es nuestro mejor amigo, así que si recibimos un correo de hacienda diciendo que nos quieren devolver dinero pero no pueden si no hacemos clic, desconfiemos.
Como recomendación en el ámbito del software, tener siempre el sistema operativo actualizado, un buen antivirus al día (En nuestro caso el Nod32 de Eset ha conseguido resultados muy buenos) y por último malwarebytes ha desarrollado un software especifico para combatir la propagación de este tipo de malware en el sistema. Aunque a día de hoy todavía se encuentra en fase beta, hemos podido comprobar que si actuá cuando sospecha de algún encriptado en el sistema, incluso de los benignos como a la hora de mandar información a la seguridad social, pero mas vale pecar de cautos y usar una buena lista de exclusión que de confiados y perder todos los datos del sistema.
 
Desde Asesoría SIC prestamos servicios de asesoría fiscal e informática a autónomos y pymes. Contáctanos.

logo sic

Horario Oficina

  • Télefono 911 570 770
  • Email Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
  • Lunes a Viernes de 9:00 a 15:00
  • Lunes a Jueves de 16:00 a 18:00