En los últimos tiempos los ransomwares se han vuelto mucho más agresivos, los primeros que comenzaron a aparecer luego del boom de los falsos antivirus sólo simulaban bloquear el equipo para pedir un rescate, por lo cual de una forma u otra era posible eliminarlos como el virus de la policía que no dejaba entrar en modo seguro.
Aunque los ransomwares que cifran archivos siempre han existido, en los últimos tiempos se han vueltos los protagonistas en los sitios especializados en seguridad.
Uno de los últimos se llama OphionLocker, el nombre se lo han puesto en el blog Trojan7Malware que fue el primer lugar donde lo analizaron y viene con varias novedades. Una de ellas es que utiliza criptografía de curva elíptica para cifrar los archivos, algo que no es habitual en esta clase de malwares. Pero más allá de lo técnico, lo grave como viene sucediendo últimamente es que una vez que cifran los archivos sólo se pueden recuperar con una llave privada que los atacantes le envían a las víctimas cuando pagan una suma de dinero.
Esto puede ser desastroso para una empresa o un usuario, pues de un momento a otro se quedan sin todos sus documentos (imágenes, documentos de Office, etc) y si no hay un respaldo, no queda otra opción que pagar para recuperarlos.
Este nuevo ejemplar además utiliza el Bitcoin como medio de pago, la famosa moneda virtual que poco a poco va ganando terreno en la red.
En el blog de F-Secure han publicado una captura del mensaje que aparece una vez que el equipo se infecta:
Ahí se menciona que los documentos se han cifrado y que la llave que permite recuperarlos sólo estará disponible por 72 horas. El mensaje se acompaña de una URL donde se debe confirmar el pago, esta página se encuentra alojada en la red Tor para mantenerse anónima y evitar ser dada de baja:
El pago que se debe realizar es de 1 btc (Bitcoin) que a la cotización actual son más de 300 dólares, esto es un problema no sólo por ser una suma de dinero bastante grande, sino porque la mayoría de las víctimas no tienen ni idea de cómo obtener un Bitcoin.
El Bitcoin se ha vuelto una moneda de uso corriente en el mundo delictivo que a venido a sustituir a diversas pasarelas de pago y servicios de suscripción que los ciberdelincuentes utilizaban. La ventaja para ellos es que las transacciones que se realizan son anónimas en el sentido de que no hay nombres, ni direcciones ni ningún dato detrás de ellas. No hay forma de rastrear quién recibe ese Bitcoin.
Otra de las novedades de este ransomware es que no solicita el pago cuando se ejecuta en un entorno virtual, como los que habitualmente utilizan los investigadores o la policía. Se trata de un mecanismo de protección contra el análisis forense bastante común, de hecho existen malwares que sólo se ejecutan una vez y luego se autoeliminan para no dejar rastros o sólo funcionan cuando los equipos son potentes para no generar el clásico síntoma del equipo lento por estar lleno de virus. Otros incluso llegan a eliminar a otros troyanos de la competencia para ser los únicos dueños del equipo infectado.
En este caso el comportamiento es curioso porque además de no solicitar el pago, entregan el enlace al programa que incluiría la llave privada para recuperar los archivos. Pero en realidad el programa no funciona por lo que tal vez sólo lo hacen para jugar un poco.
Este tipo de malware puede terminar en nuestro equipo de diversas formas, por ejemplo puede estar oculto en un juego o programa pirateado, propagarse con ingeniería social por correo, redes sociales o sitios infectados e incluso llegar a instalarse de forma automática aprovechando alguna vulnerabilidad de nuestro sistema. Para estar protegidos no basta con tener un antivirus actualizado, las buenas prácticas que tantas veces he comentado y el sentido común son necesarios.
El respaldo o backup puede ser en estos casos la salvación, un usuario normal tal vez no deba hacerlos todos los días, pero en un entorno de oficina es necesario contar con una política de respaldos para estar preparados. No cuesta nada realizar uno al final del día ya sea de forma manual o automática.