Nuestro Blog

Ayuda !!! Cryptolocker me ha secuestrado los datos de mi ordenador


12 abril, 2015 0 Comentarios seguridad informatica

informatica-coruña-desinfeccion-cryptolockerEn Intecnor estamos acostrumbrados a pelear con los virus, pero cada vez se hace más difícil, mutan continuamente y cuando los antivirus los detectan, muchas veces ya es demasiado tarde. El virus del momento se llama Cryptolocker y es una variante de ramsomware que ya vimos en esta entrada en su momento.

Este tipo de virus son muy peligrosos, ya que lo que buscan es hacerse con los datos importantes que tengamos en nuestro ordenador, encriptarla de manera segura para que no podemos acceder a ella y luego pedirnos un rescata para poder recuperarla.

Infección de Cryptolocker ??

Primero se introduce en nuestro ordenador mediante un descuido o bien en un acción incauta del usuário, ya que la vía de entrada principal es a través del correo y mediante la apertura de un anexo que está infectado. A partir de ahí, ya lo tenemos en nustro equipo y cada vez que encendamos estará trabajando en la sombra, sin que nos enteremos.

Desgraciadamente se nos ha dado el caso de clientes que disponían de antivirus instalados y que el virus ha sido capaz de desactivar, paralizando los servicios para infectar el sistema.

Secuestro de nuestros datos

Aprovechando la conexión a internet, empieza a comunicarse con el servidor del hacker, generando claves de cifrado asimétricas para comenzar a cifrar nuestros archivos para hacerlos inaccesibles e imposibles de recuperar, ya que el cifrado empleado es de máxima seguridad, usando claves RSA-2048. Una vez cifrado, elimina el archivo original, permaneciendo únicamente en nuestro equipo el encriptado. El tipo de clave empleado impide que se pueda recuperar por fuerza bruta o por ingeniería inversa.

Está programado para hacer el máximo daño, ya que los archivos que busca son los más valiosos, afectando principalmente a los siguientes tipos de archivos:

  • Fotos y vídeos
  • Documentos Office (Word, Excell, Access, Powerpoint)
  • Bases de datos de aplicativos del tipo Sql Server
  • Autocad

Podemos notar durante su trabajo que el equipo o el servidor se ralentiza y ésto puede ser un indicio que nos puede salvar nuestros datos.

Rescate

Una vez que ha terminado hacer su trabajo, encriptando de manera rápida todos los archivos indicados y no antes, nos pedirá un rescate para recuperar todos nuestros archivos. En versiones anteriores las indicaciones estaban en inglés, pero ahora ya aparecen en español, con instrucciones precisas de lo que debemos de hacer para volver a disponer de nuestros archivos. 

El chantaje es doble, ya que nos solicita dinero y además establece un tiempo máximo, después del cual, o bien el precio del rescate se incrementa o bien ya no será posible su recuperación. Importante destacar que el rescate nos lo solicita en Bitcoin que es una moneda virtual que dificulta mucho poder localizar al hacker. Además la comunicación con los servidores de los criminales se realiza a través de la red Tor para garantizar así en todo momento el anonimato.

Pagar o no pagar

Sobre si pagar o no pagar, existe un gran debate sobre ésto en internet. Nosotros recomendamos no pagar ya que estaríamos financiando a los criminales, pero lo que si es cierto es que si nuestra empresa puede paralizarse, existen muchos clientes que abonan la cantidad solicitada. Ojo, ya que no existe ninguna seguridad de que después de pagar vayamos a recibir la clave, así que nos exponemos a perder el dinero.

Desinfección

Si estamos infectados, lo primero que debemos de hacer es proceder con la eliminación del virus. Para ello debemos de acceder mediante un live-cd con alguna utilidad antivirus y proceder con la limpieza. Nosotros hemos empleado Bitdefender rescue diskKaspersky Rescue Disk para las limpiezas.Ojo, en las últimas versiones ya no es posible acceder mediante el modo a prueba de fallos, por lo que la única posibilidad es la comentada.

Recuperación de archivos

Como ya dijimos, la clave empleada es una de las más seguras que existen en la actualidad, así que dar con ella es algo tremendamente complicado. Además cada clave es única para cada equipo, es decir, si tenemos dos equipos infectados, sus claves para conseguir recuperar la información no tienen nada que  ver.

Copias de seguridad

El algo que no nos cansamos de avisar. Hay que realizar siempre y de manera periódica copias de seguridad. Ojo, no nos podemos fiar de las copias de seguridad en la nube, ya que también aparecerán encriptadas, así que a no ser que el servicio cloud disponga de un servicio de versiones que nos permita volver a versiones anteriores de los archivos, poco podremos hacer.

Si tenemos un disco para copias de seguridad siempre pinchado, seguramente también estarán encriptadas, con lo que tampoco nos servirán. Si las copias están en Nas o en unidades de red, muy posiblemente también estén encriptadas. Como vemos está hecho con muy mala leche.

Archivos borrados

Hay personas que indican que si les ha funcionado, pero a nosotros no lo ha hecho. Después de encriptar la información, el virus elimina automáticamente el archivo fuente. Se trataría de intentar recuperar mediante alguna de las múltiples utilidades gratuitas existentes, como Recuva, de intentar recuperarlos. Yo creo que el virus se ha dotado ya de mayor inteligencia y muy posiblemente borre de manera segura la información.

Descifrado

Si nada de lo anterior nos ha funcionado, la única alternativa es intentar descifrar la clave. Recientemente ha aparecido una web que indican que pueden dar con la clave y que se llama Decryptolocker, accesible en el siguiente link.

Lo que tendremos que hacer es subir uno de los archivos encriptados e indicar una dirección de correo electrónico para que nos remitan la clave para poder desencriptar todos nuestros archivos. Lo cierto es que nosotros no hemos tenido ningún caso de infección desde que ha aparecido, por lo que no podemos asegurar si realmente funciona.

Deja un comentario

Eres humano o un robot ? Responde a la pregunta * Time limit is exhausted. Please reload CAPTCHA.

Back to top

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información ACEPTAR

Aviso de cookies
Share This