El ransomware es tan pequeño como un grano de arena y está en todas partes. Y pueden cifrar más de lo que crees. Que tus archivos personales sean destruidos es una gran pérdida, pero cuando el ransomware ataca tus copias, este dolor aumenta aún más.
Hay varias variantes de ransomware que atacan no sólo a los discos duros sino también a otras unidades del sistema, y las unidades en la nube tampoco están fuera de su alcance. Entonces, es hora de que revises exactamente qué son las copias de seguridad de archivos y dónde se guardan las copias.
Ataques de ransomware en todas partes
Sabemos que un ataque de ransomware puede ser devastador. El ransomware es un obstáculo particular porque sus archivos objetivo son imágenes, música, películas y documentos de todo tipo. Su disco duro contiene archivos personales, laborales y comerciales que son objetivos principales para el cifrado. Una vez cifrado, verá un mensaje de rescate exigiendo un pago (generalmente en Bitcoin, difícil de rastrear) para la liberación segura de sus archivos.
E incluso entonces, no hay garantía de que reciba la contraseña de cifrado o la herramienta de descifrado.
CriptoLocker
CryptoLocker es una variante del ransomware de cifrado que puede cifrar varios de sus discos duros. Apareció por primera vez en 2013 y se propagó a través de archivos adjuntos de correo electrónico infectados. Cuando CryptoLocker se instala en una computadora, puede escanear el disco duro en busca de una lista específica de extensiones de archivo. Además, escanea todas las unidades conectadas a la máquina, ya sea USB o de red.
Una unidad de red con acceso de lectura/escritura se cifrará como un disco duro. Es un desafío para las empresas donde los empleados acceden a carpetas de red compartidas.
Afortunadamente, los investigadores de seguridad publicaron una copia de la base de datos de víctimas de CryptoLocker y compararon cada cifrado. Crearon el portal Decrypt CryptoLocker para ayudar a las víctimas a descifrar sus archivos.
Evolución: CriptoFortaleza
CryptoLocker apareció y afirmó tener 500.000 víctimas. Según Keith Jarvis de Dell SecureWorks, CryptoLocker pudo haber recibido 30 millones de dólares en los primeros 100 días de la operación de extorsión (llegaría a 150 millones de dólares si cada víctima pagara 300 dólares de rescate). Sin embargo, eliminar CryptoLocker no es el comienzo para prevenir el ransomware de mapeo de controladores de red.
CryptoFortress fue descubierto en 2015 por el investigador de seguridad Kafein. Tiene la apariencia y el enfoque de TorrentLocker pero uno de los avances clave; puede cifrar controladores de red no asignados.
Normalmente, el ransomware recupera una lista de unidades de red asignadas, por ejemplo C:, D:, E:, etc. Luego escanea las unidades, compara las extensiones de los archivos y luego las cifra. Cifra los archivos correspondientes. Además, CryptoFortress enumera todos los recursos compartidos de red abiertos del Bloque de mensajes del servidor (SMB) y cifra los que encuentra.
Locky
Locky es otra variante del ransomware, famoso por cambiar archivos individuales a .locky, así como a wallet.dat, la billetera de Bitcoin. Locky también apunta a archivos en computadoras o archivos en recursos compartidos de red no asignados, cambiando archivos en el proceso. Este caos dificulta el proceso de recuperación.
Además, Locky no tiene decodificador.
Ransomware en la nube
El ransomware pasa por alto la memoria física de la red y de la computadora, y también trasciende los datos de la nube. Ésta es una cuestión importante. El almacenamiento en la nube se promociona con frecuencia como una de las opciones de copia de seguridad más seguras, ya que mantiene la copia de seguridad de sus datos lejos de los recursos compartidos de la red interna y crea aislamiento de los peligros circundantes. Pero, lamentablemente, las variantes de ransomware han pasado por alto esta seguridad.
Según el informe State of the Cloud de RightScale, el 82% de las empresas utilizan una estrategia de múltiples nubes. Y otro estudio (libro electrónico de Slideshare) realizado por Intuit muestra que para 2020, el 78% de las pequeñas empresas utilizarán funciones de la nube. Este cambio radical por parte de empresas grandes y pequeñas hace que los servicios en la nube sean un objetivo principal para los proveedores de ransomware.
Ransom_Cerber.cad
Los proveedores de malware encontrarán una manera de solucionar este problema. La ingeniería social y el phishing por correo electrónico son herramientas clave y pueden utilizarse para eludir controles de seguridad estrictos. Los investigadores de seguridad de Trend Micro encontraron una variante especial de ransomware llamada RANSOM_CERBER.CAD. Está destinado a usuarios domésticos y empresariales de Microsoft 365, computación en la nube y plataformas de productividad.
La variante Cerber puede cifrar 442 tipos de archivos usando una combinación de AES-265 y RSA, modificar la configuración de zona de Internet Explorer en la computadora, eliminar instantáneas, deshabilitar la reparación de inicio de Windows y finalizar los programas Outlook, The bat!, Thunderbird y Microsoft Word.
Además, y este es el comportamiento que presentan otras variantes de ransomware, Cerber consulta la ubicación geográfica del sistema afectado. Si el sistema anfitrión es miembro de la Comunidad de Estados Independientes (países de la antigua Unión Soviética como Rusia, Moldavia y Bielorrusia), el ransomware finalizará automáticamente.
La nube como herramienta de contaminación
El ransomware Petya apareció por primera vez en 2016. Algunas cosas notables acerca de esta variante son, en primer lugar, que Petya puede cifrar todo el Master Boot Record (MBR) de una computadora personal, provocando que el sistema falle. Esto inutiliza todo el sistema. Luego, al reiniciar, se mostró la nota de rescate de Petya, con una imagen de una calavera y una solicitud de pago en Bitcoin.
En segundo lugar, Petya se propagó a varios sistemas a través de un archivo infectado almacenado en Dropbox, disfrazado de resumen. El enlace se disfraza de detalles de la aplicación, cuando en realidad enlaza con un archivo ejecutable autoextraíble para instalar el ransomware.
Afortunadamente, un programador anónimo encontró una manera de descifrar el cifrado de Petya. Este método es capaz de detectar la clave de cifrado necesaria para desbloquear el MBR y liberar los archivos capturados.
Es comprensible el uso de servicios en la nube para difundir ransomware. Se ha alentado a los usuarios a utilizar soluciones de almacenamiento en la nube para realizar copias de seguridad de los datos porque proporciona una capa adicional de seguridad. La seguridad es la clave del éxito de los servicios en la nube. Sin embargo, la confianza de los usuarios en la seguridad de la nube puede explotarse con malos propósitos.
En breve
El almacenamiento en la nube, los controladores de red asignados o no asignados y los archivos del sistema siguen siendo vulnerables al ransomware. Esto ya no es algo nuevo. Sin embargo, los distribuidores de malware atacan activamente los archivos de copia de seguridad, lo que aumenta el nivel de ansiedad de los usuarios. Al contrario, se deben tomar precauciones adicionales .
Los usuarios domésticos y empresariales deben realizar copias de seguridad de los archivos importantes en discos duros extraíbles. Tomar medidas ahora es la acción que le ayudará a recuperar su sistema después de una infección de ransomware no deseada de una fuente no confiable.
¿Ves una notificación de activación de Windows 10 en la esquina derecha de la pantalla? Este artículo le guiará sobre cómo eliminar el aviso de solicitud de derechos de autor en Windows 10.
Recientemente, Microsoft lanzó la última actualización acumulativa para usuarios de PC con Windows 10 llamada Build 14393.222. Esta actualización lanzada para Windows 10 corrige principalmente errores basados en los comentarios de los usuarios y mejora la experiencia de rendimiento del sistema operativo.
¿Tiene computadoras en su red local que necesitan acceso externo? Usar un host bastión como guardián de su red puede ser una buena solución.
A veces es posible que necesites eliminar todos los registros de eventos antiguos a la vez. En esta guía, Quantrimang.com le mostrará 3 formas de eliminar rápidamente todos los registros de eventos en el Visor de eventos de Windows 10.
Si prefiere usar un teclado clásico antiguo, como el IBM Modelo M, que no incluye una tecla física de Windows, existe un método sencillo para agregar más, tomando prestada una tecla que no usa con frecuencia.
WindowTop es una herramienta que tiene la capacidad de atenuar todas las ventanas de aplicaciones y programas que se ejecutan en computadoras con Windows 10. O puede usar una interfaz de fondo oscuro en Windows.
En muchos artículos anteriores hemos mencionado que permanecer anónimo en línea es extremadamente importante. Cada año se filtra información privada, lo que hace que la seguridad en línea sea cada vez más necesaria. Esa es también la razón por la que deberíamos utilizar direcciones IP virtuales. ¡A continuación, aprenderemos sobre métodos para crear IP falsas!
La barra de idioma en Windows 8 es una barra de herramientas de idioma en miniatura diseñada para mostrarse automáticamente en la pantalla del escritorio. Sin embargo, mucha gente quiere ocultar esta barra de idioma en la barra de tareas.
Maximizar la velocidad de Internet es esencial para optimizar su conexión de red. Podrás tener una óptima experiencia de entretenimiento y trabajo utilizando computadoras, televisores con acceso a Internet, consolas de juegos, etc.
La conectividad inalámbrica es una necesidad hoy en día y, por eso, la seguridad inalámbrica es esencial para garantizar la seguridad en su red interna.
