CryptoLocker es un malware que está ocasionando a los usuarios infectados un verdadero problema: Recuperar la información.
Eliminar el malware no es la solución, sino aplicar el proceso de descifrado para la recuperación de los archivos afectados por CryptoLocker.
Al estar cifrados, el usuario depende de la llave que está en poder del atacante. La disyuntiva del usuario del equipo infectado es pagar la extorsión o recuperar la información del último respaldo realizado. La falta de la llave y de respaldo está llevando a muchos usuarios a aceptar la extorsión y pagar por la llave para el descifrado de los archivos. No obstante, se han reportado casos de víctimas que han pagado y no han recibido la llave.
¿Cómo trabaja CryptoLocker? Llega por distintas vías: por correo electrónico tipo phishing, con archivos adjuntos; al explotar complementos desactualizados del navegador y visitar sitios web comprometidos y maliciosos; o mediante redes botnets cibercriminales. Una vez instalado, y sin que el usuario se de cuenta, empieza a cifrar los archivos (fotos, videos, documentos, etc.) usando el método de encripción asimétrica, y enviando al atacante la llave privada utilizada en el cifrado. Entonces muestra en el computador un mensaje al usuario impidiendo el acceso y exigiendo el pago de 300USD en un plazo de 3 días para obtener la llave privada para el descifrado de los archivo. La amenaza es destruir la llave si el pago no es recibido, quedando los archivos cifrados e inutilizados por siempre.
Sin embargo, la amenaza de borrar la llave es sólo para presionar. Recientemente los cibercriminales han puesto un servicio de descifrado CryptoLocker en línea para obtener la llave privada. La víctima debe subir un archivo cifrado y de encontrarse la llave, se le requiere el pago de 10 Bitcoins, unos 2,000USD, para recuperarla. Más pre$ión para ceder al intento de extorsión.
¿Qué archivos cifra CryptoLocker? Los contenidos en unidades compartidas de red, unidades USB, discos duros externos, comparticiones de archivos en la red, unidades de almacenamiento en la nube, y unidades mapeadas de red.
¿Qué recomendaciones deben seguirse para evitar la infección?
- No hacer click en enlaces dentro de mensajes de correo electrónico no solicitados o que parezcan sospechosos.
- No abrir archivos adjuntos en mensajes no solicitados o sospechosos.
- Cuando abra archivos adjuntos en mensajes de correo electrónico, primero verifique con su software antivirus que el archivo no esté infectado.
- Mantenga actualizado su software anti-virus, sistema operativo y aplicaciones.
- Realice respaldos periódicos de la información.
- Configure que sus unidades compartidas sean accesibles sólo por usuarios autorizados.
- Herramientas: Para versiones profesionales de Windows existe CryptoLocker Prevention Kit, un conjunto de políticas de grupo para bloquear las infecciones CryptoLocker en un dominio. Puede ser útil para los administradores de sistemas. Para versiones Home de Windows existe CryptoPrevent, que trabaja en Windows XP, Vista, 7, 8, y 8.1.
¿Y si ya he sido infectado por CryptoLocker?
- Desconecte de inmediato el equipo de la red para evitar que el malware trabaje cifrando los datos en otras unidades de la red.
- No pague. Pagar no asegura que reciba la llave de descifrado. Ya hay usuarios que siguen esperando la llave.
- Consulte con su técnico para que le asista en la eliminación del malware y recuperación del sistema y datos. Es casi seguro que los datos cifrados no puedan ser recuperados, así que la única forma de restablecer los datos es mediante el respaldo más reciente.
- Cambie las contraseñas de las cuentas de acceso.