CoinVault es un ransomware que bloquea el acceso a los archivos de datos mediante el cifrado de los mismos.
CoinVault cifra los archivos de datos del equipo infectado, tras lo cual borra los archivos originales para exigir un rescate en BitCoins a cambio de la llave para el descifrado de los archivos. El rescate está sujeto a un contador de tiempo por 24 horas, y que una vez llegado a cero aumentará el costo inicial del rescate, que parece ser de 0.5 BTC, equivalentes a casi 190 USD según el tipo de cambio del BTC. En la pantalla de bloqueo mostrada por el malware existe la opción de que el usuario pueda consultar los archivos que han sido cifrados y que no podrá acceder si no paga el rescate. Para confirmar la acción y que sólo ellos pueden descifrar los archivos CoinVault ofrece la posibilidad de hacerlo a sólo uno de los archivos cifrados por el malware.
A diferencia de sus antecesores CryptoLocker y CryptoWall, el nuevo ransomware plantea nuevas formas para tener exito en el pago del rescate de los archivos cifrados. CoinVault incluye en su interfaz gráfica de usuario de bloqueo de los archivos la posibilidad para que el usuario verifique su pago y entonces entregarle en la misma interfaz la llave privada para el descifrado de los archivos. Sólo le pide al usuario esperar unos minutos después de que realice el pago para que haga dicha verificación. Una vez entregada la llave privada la misma interfaz incluye la posibilidad de aplicarla para el descifrado de los archivos bloqueados.
Los autores se aseguran de que el usuario no borre el malware ya que al hacerlo se pierde toda posibilidad de recuperar la llave privada para el descifrado de los archivos. Posiblemente esto hará que las víctimas paguen el rescate, lo cual no es recomendable ya se fomenta estas actividades ciberdelicuenciales. Además el pago no siempre es garantía para recibir la llave de descifrado por lo que es posible seguir siendo objeto de la extorsión. La mejor solución al ransomware es contar con respaldos de los archivos para recuperarlos una vez que el ransomware ha sido borrado.
Recomendaciones:
- Mantenga actualizado su equipo: Al menos el sistema operativo Windows, el software antivirus, el navegador y sus complementos.
- No haga click en enlaces recibidos dentro de mensajes de correo electrónico de procedencia desconocida o sospechosa. Tampoco abra los archivos adjuntos en tales mensajes. Tenga en cuenta los ataques phishing y verifique antes con el remitente si recibe algún adjunto que no tiene sentido haberlo recibido.
- Respalde periódicamente sus archivos en unidades externas y/o en la nube. Es recomendable respaldar diariamente. Si puede hacer respaldo completo mejor. Si no pudiera entonces utilice esquemas de respaldo tipo Abuelo-Padre-Hijo. Conserve el respaldo por el tiempo que considere conveniente.