Definición

CryptoLocker es un virus ransomware que restringe el acceso a los ordenadores infectados mediante el cifrado de sus contenidos. Una vez infectadas, las víctimas deben pagar un “rescate” para descifrar y recuperar sus archivos.

El método primario de infección consiste en correos electrónicos de phishing con archivos adjuntos malintencionados. Estos correos electrónicos están diseñados para ser muy parecidos a los de empresas legítimas y a notificaciones de seguimiento falsas de FedEx y UPS.[1]

Ejemplo de virus CryptoLocker

Los atacantes disfrazan a los archivos adjuntos que contienen el ransomware CryptoLocker para engañar a sus víctimas y convencerles de que cliquen en el archivo adjunto que activa el ataque. Después, las víctimas deben pagar un rescate para descifrar sus archivos. El CryptoLocker se diseminó entre principios de septiembre de 2013 y finales de mayo de 2014.[2]

Historia

El primer ataque del CryptoLocker ocurrió entre el 5 de septiembre de 2013 y finales de mayo de 2014. Se identificó como un virus troyano (un código malintencionado que se hace pasar por algo inocuo) dirigido a ordenadores con diversas versiones del sistema operativo Windows. Penetraba en los sistemas seleccionados mediante correos electrónicos falsos diseñados para ser muy similares a los de empresas legítimas y a notificaciones de seguimiento falsas de FedEx y UPS.

Una vez que una máquina se infecta, el ransomware CryptoLocker encuentra y encripta archivos localizados en unidades de red, unidades USB, discos duros externos, archivos compartidos en red y hasta algunas unidades de almacenamiento en la nube. Para principios de noviembre de 2013, el malware CryptoLocker había infectado a unos 34.000 equipos, principalmente en países de habla inglesa.[3]

En el 2014 se publicó una herramienta de descifrado para este malware. Sin embargo, diversos informes sugieren que el CryptoLocker logró extorsionar más de 27 millones de USD a sus víctimas.[4]

Prevención

El US-CERT aconseja a los usuarios que eviten las infecciones por ransomware CryptoLocker realizando copias de seguridad periódicas de sus archivos importantes y almacenando estas copias en dispositivos sin conexión. Los usuarios también deben tener software antivirus actualizado y mantener al día sus software y sistemas operativos con las actualizaciones más recientes.

Por otra parte, los usuarios deben evitar el abrir enlaces presentes en correos electrónicos no solicitados y tener cuidado al abrir archivos adjuntos. Y, como siempre, la mejor prevención es el implementar buenas prácticas de seguridad al navegar en internet.[1]

¿Cómo eliminar el CryptoLocker y recuperar archivos?

Una vez que sus usuarios detectan un ransomware, deben desconectarse de la red inmediatamente. Si es posible, deben llevar físicamente el ordenador que han estado usando a su departamento de TI. Solo el departamento de seguridad informática debe intentar bloquear el CryptoLocker y hacer un reinicio.

Uno de los factores clave en su respuesta es decidir si pagar el rescate o no. Esa decisión debería basarse en el tipo de ataque, qué miembros de su red han quedado comprometidos y qué permisos de red tienen los titulares de las cuentas comprometidas.[5]

Los ataques de ransomware son delito, y las organizaciones deben comunicarse con las autoridades si resultan víctimas de estos. Los técnicos forenses pueden garantizar que sus sistemas no resulten comprometidos de otras maneras, recopilar información para proteger mejor a las organizaciones en adelante y procurar detectar a los atacantes.

A veces, los investigadores de seguridad ofrecen descifradores que pueden descifrar los archivos gratis, pero no siempre están disponibles y no funcionan en todos los tipos de ataques de ransomware.

Si las organizaciones han seguido buenas prácticas y tienen copias de sus sistemas, pueden restaurar rápidamente sus sistemas y reanudar sus operaciones de trabajo con normalidad.[4]

 


 

[1] U.S. Computer Emergency Readiness Team (US-CERT), “Infecciones por el ransomware CryptoLocker
[2] Dan Goodin (Ars Technica). “Está infectado. Si quiere recuperar sus datos, páguenos 300 $ en bitcóin
[3] Ryan Naraine (SecurityWeek). “Aumentan las infecciones por CryptoLocker
[4] Proofpoint. “¿Qué es el ransomware?
[5] Proofpoint. “Guía de supervivencia frente al ransomware

Guía de supervivencia al CryptoLocker y al ransomware

Aprenda qué hacer antes, durante y después de un ataque de ransomware con nuestra Guía de supervivencia frente al ransomware para 2022.

El ransomware es un negocio serio

Los ataques de ransomware se han vuelto sumamente comunes hoy en día. Descubra que es el ransomware, ejemplos y cómo protegerse.

El primer paso: el acceso inicial abre la puerta al ransomware

Los ataques de ransomware siguen utilizando el correo electrónico, pero no como cabría imaginar.

Los ciberdelincuentes aprovechan las plataformas de Microsoft y Google para enviar millones de mensajes maliciosos

Organizaciones de todo el mundo han adoptado herramientas de colaboración en la nube en cantidades sin precedentes, y los ciberdelincuentes no tardaron en aprovechar esta tendencia.

Protección de los teletrabajadores frente a los ataques de ransomware

Para la prevención, detección y neutralización de ataques de ransomware se requiere una estrategia integral y varias tecnologías.