Cómo evitar que un Ransomware cifre nuestros ficheros…
En nuestro anterior artículo explicábamos unos conceptos bien definidos sobre el Ransomware, sí, ese tipo de Malware que emplea un cifrado asimétrico para secuestrar la información que tengamos en nuestro ordenador y luego pedir un rescate por ellos.
El cifrado asimétrico es una técnica criptográfica en la cual se usan un par de claves (una clave es pública y la otra es privada) para cifrar y descifrar un archivo. La víctima siempre dispondrá de la clave pública, quedando en poder del atacante la clave privada que se genera al cifrar los archivos, la cual se envía a un servidor remoto. A dicha clave privada se «accede pagando el rescate» y como no siempre puede darse ese hecho, es conveniente que sepamos cómo evitar que un Ransomware cifre nuestros ficheros.
Lo primero y más importante es tener mucha precaución cuando introducimos una URL (Dirección de Internet) en nuestro navegador y por supuesto, el abrir cualquier archivo que recibamos mediante correo electrónico (e-mail). Siendo éstas los principales medios de propagación.
La mayoría de las campañas de ransomware empiezan por un mensaje de correo electrónico de phishing, es decir, de suplantación de identidad. Con el paso del tiempo, han ganado en sofisticación, y ahora muchas están específica y meticulosamente diseñadas en el idioma local de las víctimas a las que van dirigidas, sin embargo, el 99.99% de ellos tienen faltas de ortografía o caracteres ilegibles cuando los recibimos.
La gran mayoría de los usuarios de Internet no reconocen un Phishing y creen que la web a la que han accedido pertenece a la que es suplantada. Por tanto debemos ser muy meticulosos con eso e intentar averiguar si la web a la que hemos accedido se corresponde con la que deseamos acceder.
¡Cuidado con la doble extensión de ficheros!…
Lo primero que hace el Ransomware para poder infectar es ocultarse, y lo hace aprovechando las extensiones de los ficheros, por eso, trata de engañar a la víctima haciendo creer que un fichero de una imagen es una imagen (extensión .jpeg, .jpg, .gif, .bmp, etc…) cuando en realidad detrás se oculta el propio Ransomware con extensión .exe
Por tanto, lo que debemos hacer en nuestro equipo es asegurar que vemos las extensiones de los ficheros en todo el equipo, en el caso que no las veas, puedes hacer lo siguiente:
- Para abrir Opciones de carpeta, haz clic en el botón Inicio, Panel de control, Apariencia y personalización, por último, en Opciones de carpeta. (En Windows 10 puedes usar la combinación de teclas «Windows+X» donde luego podrás ver la opción «Panel de Control» o bien usar la combinación «Windows+R» y en el campo ejecutar escribir «control panel» (sin la comillas) y pulsar aceptar.
- Haz clic en la ficha Ver y, a continuación, en Configuración avanzada:
- Para mostrar las extensiones de nombre de archivo, desactiva la casilla «Ocultar las extensiones de archivo para tipos de archivo conocidos» y, a continuación, haz clic en Aceptar para guardar los cambios.
- Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos
Cambiando las extensión de los archivos…
Hasta la fecha todos los ransomware se dedican a encriptar archivos con extensiones conocidas como: exe, jpeg, jpg, bmp, gif, doc, docx, pdf, etc…, muchos de los cuales incorporan una gran lista. Por tanto, si deseamos salvar nuestras imágenes y documentos sensibles, tendríamos la posibilidad de renombrar la extensión de los mismos que tengamos en una determinada carpeta.
Cambiar la extensión de 3 o 4 archivos es una tarea fácil, pero la cosa se complica cuando dichas carpetas contienen miles de ficheros, así que para facilitar el proceso sería recomendable usar una herramienta que nos permita renombrar ficheros por lotes. Tal es el caso de Ant Renamer 2.
Evitar trabajar con derechos de administración…
Debemos evitar que los usuarios con derechos de administración sean los que se ejecuten a primera instancia. Es decir, es muy recomendable no dejar que los usuarios que pertenezcan al grupo de administración local del ordenador. De esta forma se limitará la posibilidad de intrusión porque hay acciones específica que no se permitirán.
Si el usuario tiene derecho de administración en el equipo y dicho equipo se infecta por ransomware, éste tendrá el control del PC y podría poner en peligro la integridad del Directorio Activo, en caso de encontrarse en un dominio.
Copias de seguridad o backup en la nube y cifrado de los datos…
Hace aproximadamente una semana acudí a una clínica a una clínica odontológica, la cual había sido víctima del ransomware Troldesh. Tras dos días con el servidor y tratar por todos los medios de recuperar información, ésta fue imposible de desencriptar y apenas le quedaban datos ocultos por recuperar.
Un grave fallo de seguridad tanto en el servidor como en la aplicación que gestiona sus pacientes y la facturación hicieron posible al ransomware encriptar casi toda la documentación importante para dicha clínica.
Traté por todos los medios a mi alcance desencriptar la información con resultados negativos, sin embargo pude recuperar unos pocos datos que espero puedan ser de utilidad, pues hasta la fecha Troldesh es un ransomware para el cual no existe herramienta que pueda desencriptarlo.
En cuanto al software de gestión, éste hacía las copias de seguridad dentro del propio servidor valiéndose para ello de un proceso por lotes que se ejecutaba al arrancar el equipo. Así que como se puede apreciar, una mala gestión en la seguridad del equipo y el propio software de gestión, se lo pusieron en bandeja al ransomware.
Y se estarán preguntando… ¿qué tiene que ver eso con el backup en la nube? Bastante diría yo, ya que muchas empresas rechazan la posibilidad de guardar datos en la nube, bien sea por desconfianza o desconocimiento. Sin embargo, si el propio software de gestión de la clínica a la cual acudí, fuera capaz de encriptar los datos personales de sus pacientes, no existiría problema en subirlos a la nube, pero no era el caso, así que… ¿qué tal si alojamos los ficheros en la nube, ya sea DropBox o GoogleDrive, pero antes los encriptamos y que de forma automática se sincronicen?
Para ello, vamos a hacer uso de CryptoMator, un sofware de código abierto y gratuito el cual nos permitirá encriptar determinadas carpetas o ficheros y que éstos se sincronicen de forma automática con DropBox o GoogleDrive.
Se trata de una aplicación muy fácil de usar para los usuarios medios o avanzados, sin embargo, tiene el inconveniente de que las copias de seguridad no se realizan de forma automática, aunque tiene como ventaja que el encriptado/desencriptado AES se realiza de «on the fly» (sobre la marcha) y además la contraseña está protegida contra fuerza bruta gracias a scrypt. Lo único que no encripta o modifica en el sincronizado so las fechas de los archivos
Si deseas probar Cryptomator, puedes efectuar su descarga desde CryptoMator.org
Por otro lado, si Cryptomator no te ha convencido, es posible que Duplicati si lo haga. Duplicati es un cliente de copias de seguridad encriptadas con AES que puede realizar copias incrementales, comprimidas y no solo en la nube sino además en las rutas que especifiquemos, incluso puede alojar los backups en algún servidor vía FTP (encriptadas por supuesto). Actualmente existe disponible una versión 2.0, pero la misma es detectada como troyano por 360 Total Security (un falso positivo podría afirmar) es posible que su detección como troyano sea porque emplea como interfaz nuestro propio navegador empleando servicios de servidor.
Duplicate es una buena opción no solo por ofrecer copias de seguridad programadas, sino que su interfaz, al menos en la versión 1.3.4, está en castellano. Por contra, podemos decir que para poder desencriptar dichas copias, debemos hacer uso de la herramienta AES Crypt, por lo que nos obliga a tener otra aplicación instalada en nuestro equipo. Si un usuario básico no supiera que debe instalar AES Crypt, es posible que diera por perdido sus archivos.
Puedes acceder a la descarga de ambas herramientas en los siguientes enlaces: Duplicati / Aes Crypt
Espero que éste artículo haya sido de tu agrado, si tienes alguna otra idea para protegernos del Ransomware no dudes en dejarnos un comentario.