11 formas de protegerte del ransomware, incluyendo Cryptolocker

El ransomware es un software malicioso empleado por los cibercriminales para secuestrar tu equipo o ciertos archivos que almacena, y luego pedirte el pago de un rescate a cambio de su recuperación. Lamentablemente, el ransomware es un medio cada vez más popular mediante el cual los creadores de malware extorsionan a empresas y consumidores por igual para quitarles dinero.

https://youtu.be/xpFU4n2iHN8

Son muchas las formas en que puede ingresar a una computadora, pero como suele ocurrir, las técnicas terminan siendo tácticas de Ingeniería Social o el uso de vulnerabilidades de software para instalarse silenciosamente en la máquina de la víctima.

¿Por qué Cryptolocker es tan notable?

Una amenaza en particular de tipo ransomware que apareció mucho en las noticias es Cryptolocker (detectada por ESET como Win32/Filecoder). Este malware se asoció con una variedad de otros programas maliciosos, como troyanos backdoor, downloaders, spammers, ladrones de contraseñas, troyanos clicker de publicidades, entre otros. Cryptolocker puede llegar solo (en general enviado por correo electrónico) o como componente adicional de un backdoor o un downloader.

Sus creadores fueron hábiles y persistentes; hicieron un esfuerzo coordinado para lanzar nuevas variantes con el objetivo de mantenerse al día de los cambios en la tecnología de protección y para ir atacando a distintos grupos con el paso del tiempo. Fue así como nos encontramos con Cryptolocker 2.0, aunque últimamente, otras amenazas como CryptoWall 3.0 también estuvieron muy presentes.

Al principio, los correos electrónicos estaban dirigidos a usuarios domésticos, luego a empresas pequeñas, medianas, y ahora también atacan a grandes corporaciones. Además del correo electrónico, este malware puede propagarse por puertos RDP que hayan quedados abiertos a Internet. Cryptolocker también puede afectar los archivos del usuario alojados en unidades de red asociadas al equipo (por ejemplo, D:, E:, F:). Por lo tanto, es capaz de afectar archivos ubicados en discos rígidos externos, incluyendo unidades de memoria USB, o carpetas que se encuentren en la red o en la nube. Si, por ejemplo, tienes una carpeta de Dropbox asignada en forma local, también podría cifrar sus archivos.

Los elegidos por esta amenaza suelen ser aquellos con formatos de datos muy populares, archivos que abrirías con un programa instalado en el equipo (como Microsoft Office, los programas de Adobe, iTunes u otros reproductores de música, o visualizadores de fotos).

Los criminales usan dos tipos de cifrado: los archivos en sí se protegen con cifrado AES de 256 bits. Las claves generadas por este primer proceso de cifrado a su vez se protegen con cifrado RSA de 2048 bits, y los autores guardan la clave privada que permite descifrar tanto las claves ubicadas en la máquina del usuario, como los archivos que estas claves protegen. La clave de descifrado no puede adivinarse por fuerza bruta ni extraerse de la memoria del equipo afectado. Aparentemente, los criminales son los únicos que tienen la clave privada.

¿Qué se puede hacer al respecto?

Por un lado, el ransomware puede ser muy preocupante, dado que los archivos cifrados bien podrían considerarse dañados irreparablemente. Pero si preparaste tu sistema en forma correcta, no será nada más que una simple molestia.

Los siguientes consejos te ayudarán a protegerte del ransomware y evitar que te arruine el día:

1. Haz un backup periódico de tus datos

La única herramienta y la más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. Si te ataca un ransomware podrás perder ese documento en el que comenzaste a trabajar esta mañana, pero si puedes restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde tu backup los documentos que estaban infectados, estarás tranquilo.

Recuerda que Cryptolocker también cifra archivos en unidades asignadas. Esto incluye todos los discos externos como las memorias USB, así como los espacios de almacenamiento en la red o en la nube para los que haya una letra de unidad asignada. Por lo tanto, lo que debes hacer es llevar un régimen periódico en un disco externo o servicio de backup, que no tenga asignada ninguna letra de unidad o que se pueda desconectar mientras no está haciendo el backup. Encontrarás más información en nuestra Guía de Backup.

Los siguientes tres consejos tienen que ver con la forma en que Cryptolocker se comporta, aunque es posible que no sea el caso de manera indefinida, pero aún así pueden ayudar a incrementar tu seguridad en general mediante pequeñas acciones, y evitar una variedad de técnicas de malware comunes.

2. Muestra las extensiones ocultas de los archivos

Con frecuencia, una de las maneras en que se presenta Cryptolocker es en un archivo con extensión “.PDF.EXE”, aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Si desactivas la casilla correspondiente, podrás ver la extensión completa de cada uno y será más fácil detectar los sospechosos.

3. Filtra los archivos .EXE del correo electrónico

Si tu sistema cuenta con una herramienta que permite filtrar adjuntos por extensión, puedes configurarlo para rechazar los correos que tengan archivos “.EXE” o con doble extensión, donde la última sea la del ejecutable (seleccionar los archivos “*.*.EXE” al configurar el filtro). Si necesitas intercambiar archivos ejecutables dentro de tu entorno y configuraste el sistema para rechazar los de tipo “.EXE”, igual podrás hacerlo convirtiéndolos a ZIP (protegidos por contraseña, por supuesto) o mediante servicios en la nube.

4. Deshabilita los archivos que se ejecutan desde las carpetas AppData y LocalAppData

Puedes crear reglas en Windows o mediante el software de prevención de intrusiones para bloquear un comportamiento en particular, típico de Cryptolocker: el hecho de que ejecuta su archivo .EXE desde la carpeta App Data o Local App Data. Si por alguna razón tienes un software legítimo configurado para ejecutarse desde el área de App Data en vez de hacerlo desde Archivos de programa, deberás crear una excepción para esta regla.

5. Usa el Kit para la prevención de Cryptolocker

El kit para la prevención de Cryptolocker es una herramienta creada por Third Tier que automatiza la creación de una Política de Grupo para deshabilitar los archivos que se ejecutan desde las carpetas App Data y Local App Data. Además deshabilita los ejecutables que se abren desde el directorio Temp de diversas utilidades para comprimir archivos.

Esta herramienta se va actualizando a medida que nuevas técnicas de Cryptolocker salen a la luz, por lo que deberás verificarla en forma periódica para asegurarte de que tienes la última versión. Si necesitas crear excepciones para estas reglas, Third Tier suministra este documento que explica el proceso.

6. Deshabilita RDP

El malware Cryptolocker/Filecoder en general accede a las máquinas mediante el Protocolo de escritorio remoto (RDP, por sus siglas en inglés), una utilidad de Windows que les permite a terceros obtener acceso a tu equipo de escritorio en forma remota. Si no necesitas usar el protocolo RDP, puedes deshabilitarlo para proteger tu máquina de Filecoder y otros exploits RDP. Para ver las instrucciones, consulta el artículo correspondiente de Microsoft Knowledge Base.

7. Instala las revisiones y actualizaciones de tu software

Los siguientes dos consejos son más generales y sirven tanto para Cryptolocker como para cualquier otra amenaza de malware. Los cibercriminales con frecuencia se basan en que las personas usan software desactualizado con vulnerabilidades conocidas, lo que les permite usar un exploit e ingresar silenciosamente al sistema.

Si te haces el hábito de actualizar tu software con frecuencia, reducirás significativamente la posibilidad de convertirte en víctima del ransomware. Algunos fabricantes lanzan actualizaciones de seguridad periódicas de rutina, como por ejemplo Microsoft y Adobe, pero también existen actualizaciones adicionales no programadas para casos de emergencia. Siempre que sea posible, habilita las actualizaciones automáticas, o ve directamente al sitio web del fabricante, ya que a los creadores de malware también les gusta hacer pasar sus creaciones como actualizaciones de software.

8. Usa un paquete de seguridad confiable

Siempre es una buena idea tener un software antimalware y un firewall que te ayuden a identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes para evadir la detección, por lo que es importante contar con ambas capas de protección.

En la actualidad, la mayoría del malware se basa en recibir instrucciones remotas para llevar a cabo sus actividades maliciosas. Si te cruzas con una variante de ransomware tan nueva que logra pasar el software antimalware sin que la detecte, es posible que quede bloqueada por el firewall cuando intente conectarse con su servidor de Comando y Control (C&C) para recibir instrucciones sobre el cifrado de tus archivos.

Si te encuentras en una posición en la que ya ejecutaste el archivo del ransomware sin ninguna de las precauciones antes mencionadas, tus opciones ya son mucho más limitadas. Pero puede ser que no todo esté perdido. Hay algunas cosas que puedes hacer que quizás ayuden a mitigar los daños, en particular si el ransomware en cuestión es Cryptolocker.

9. Desconéctate del Wi-Fi o quita el cable de red de inmediato

Si ejecutaste un archivo que sospechas que puede tratarse de un ransomware, pero aún no apareció la pantalla característica en tu computadora, si actúas muy rápido, quizá puedas detener la comunicación con el servidor C&C antes de que termine de cifrar tus archivos. Si te desconectaste de la red inmediatamente (¿dejé bien en claro que debe hacerse en ese preciso instante?), puedes llegar a mitigar el daño.

Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.

10. Usa Restaurar sistema para volver a un estado sin infecciones

Si la funcionalidad Restaurar sistema está habilitada en tu equipo con Windows, es posible que puedas volver a un estado sin infecciones. Pero, una vez más, debes ser más inteligente que el malware. Las últimas versiones de Cryptolocker pueden incluir la capacidad de borrar archivos de respaldo de la restauración, es decir que ya no estarán allí cuando intentes reemplazar la versión que dañó el malware.

Cryptolocker comenzará con el proceso de borrado cada vez que se inicie un archivo ejecutable, por lo que debes ser muy rápido, ya que los ejecutables pueden iniciarse como parte de procesos automatizados. En otras palabras, pueden ejecutarse sin tu conocimiento, como parte normal del funcionamiento de tu sistema Windows.

11. Retrocede la hora en el reloj de la BIOS

Cryptolocker en general fija el límite de tiempo en 72 horas para realizar el pago, tras lo cual el precio para descifrar los archivos sube significativamente. El precio puede variar debido a que Bitcoin tiene un valor bastante volátil.Lo que puedes hacer es retroceder la hora en el reloj de la BIOS a un punto anterior a que se cumplan las 72 horas. Soy un poco reacia a dar este consejo, ya que para lo único que sirve es para evitar que pagues el precio más alto, cuando en realidad nosotros recomendamos firmemente no pagar el rescate.

Aunque el hecho de pagarles a los criminales puede llevarte a recuperar tus datos, hubo muchos casos en los que la clave de descifrado nunca llegó o no descifró los archivos. Además, ¡fomenta la conducta criminal! Ningún tipo de secuestro es una práctica comercial legítima, por lo tanto, los creadores de malware no tienen ninguna obligación de cumplir con lo acordado; pueden llevarse el dinero sin dar nada a cambio, ya que no existe ningún control ni sanción si no lo hacen.

Más información

Si eres cliente de ESET y te preocupa tu protección contra el ransomware o piensas que puedes ser un blanco, llama al número de atención al cliente de tu país o región. Te darán los últimos detalles para evitar y remediar un ataquePor último, cabe notar que el brote reciente de ataques de tipo ransomware generó una cobertura mediática desenfrenada, principalmente porque se aparta de la tendencia anterior del malware con motivación financiera, que solía pasar desapercibido y no dañaba los archivos. El ransomware ciertamente puede ser aterrador, pero también existen muchos problemas benignos que pueden provocar el mismo nivel de destrucción.Es por eso que la mejor práctica siempre será (y siempre fue) protegerte del ransomware y de la pérdida de datos mediante backups de rutina. De esa forma, pase lo que pase, serás capaz de reiniciar tu vida digital rápidamente. Tengo la esperanza de que, si algo bueno puede surgir de esta tendencia del ransomware, es que comprendamos la importancia de realizar copias de respaldo regulares y frecuentes para proteger nuestros datos valiosos.

Fuente: 

ADVERTENCIA: WHATSAPP SE VA A CAER OTRA VEZ

LO DICEN LOS EXPERTOS. TIENEN EN CUENTA LOS CAMBIOS QUE ESTÁN HACIENDO DENTRO DE LA PLATAFORMA DEL POPULAR SERVICIO DE MENSAJERÍA.

El pasado 3 de mayo la aplicación de mensajería WhatsApp dejó de funcionar durante más de dos horas. ¿Motivo? Supuestamente, un colapso en los servidores de la empresa que llevaron a fallas a escala global. En este sentido, la empresa informó, a través de un escueto comunicado, que estaban “trabajando para solucionar el problema” y para “evitar que vuelva a ocurrir”, lo que encendió las alarmas entre los usuarios de la plataforma (prácticamente, todos).

Leer más: Nueva función de WhatsApp: mostrar dónde están nuestros contactos

Se supone, según fuentes de la industria, que la empresa está realizando mantenimientos y cambios en los servidores (Facebook, propietaria de WhatsApp, está modificando la arquitectura de sus servidores), lo que produce una sobrecarga en los mismos y, por ende, caídas ocasionales del servicio. Si esto pasa en varios servidores a la vez, los cortes del sistema pueden prolongarse, como paso hace menos de una semana.

Otra posibilidad que se baraja, pero sin confirmación dentro de Facebook, es que alguna modificación de la programación de la aplicación está provocando fallas que, hasta que no se resuelvan por completo, pueden provocar nuevos problemas.

Fuente: Infotechnology.

Novedades 3.0 Más de 100 nuevos emojis llegarán a partir de junio

Un "tercer sexo", una mujer haciendo yoga y el genio de la lámpara serán algunas de las novedades.

Los emojis se han convertido en un lenguaje universal. El catálogo no deja de crecer y seguirá haciéndolo durante los próximos meses: 137 nuevos emojis se sumarán a los que ya se utilizan en las aplicaciones de mensajería y redes sociales.

La emojipedia se actualizará este verano con zombis, dráculas, sirenas, nuevas banderas, emojis que vomitan, brócoli o galletas de la suerte, entre otros. La lista definitiva, según asegura la emojipedia, saldrá el 30 de junio y empezarán a estar disponibles a partir de esa fecha en las distintas aplicaciones de mensajería.

Entre el nuevo catálogo, según se ha podido ver, destacan el genio de la lámpara, un "tercer sexo", una mujer haciendo yoga, un cerebro, nuevas prendas de vestir, zombis, dráculas o incluso sirenas y elfos.

Novedades 3.0 WhatsApp permitirá borrar los mensajes enviados hasta dos minutos después de haberlos mandado

WhatsApp permitirá borrar los mensajes enviados hasta dos minutos después de haberlos mandado.

Desde finales del año pasado WhatsApp se encuentra trabajando en la posibilidad de borrar los mensajes mandados por error a otros usuarios del teléfono del receptor. Ahora, se ha revelado cuánto tiempo habrá para hacerlo.

Según detalla la cuenta especializada en novedades de la aplicación WhatsApp Beta Info, el usuario que envíe el mensaje tendrá 2 minutos para borrar el mensaje del smartphone que lo reciba, de este modo, cuando pase ese tiempo quedará constancia permanente del mismo.

Esta función está todavía en el modo beta de la aplicación y sólo puede utilizarse en fases de prueba. Y es que la compañía aún no ha dado detalles de cuándo puede llegar y en qué condiciones, pues anteriormente el lapso de tiempo para borrar los mensajes era mayor.

Cuando comenzaron los primeros tests para borrar los mensajes ya mandados, el usuario podía recuperarlos en los 29 minutos siguientes a haberlos enviados. De este modo, a partir de media hora el mensaje se quedaría para siempre en la conversación del receptor, un tiempo que se ha reducido hasta los 121 segundos.

Cuando la opción llegue abiertamente a WhatsApp, se estima que el usuario podrá borrar los mensajes a través de una opción específica que le aparecerá cuando pulse sobre un mensaje, del mismo modo que ahora se puede reenviar o marcar como favorito.