Los ransomware ya están entre nosotros

Fueron dos pedidos de auxilio con una semana de diferencia. El primero, de Cynthia, una buena amiga nuestra; el otro, de la colega de mi amigo Martín Carmona Selva, desde Barcelona. En ambos casos la situación era la misma: un virus se había metido en la máquina y había encriptado todos sus documentos. Fotos de viajes, planillas de cálculo, mails, textos, videos. Típico de esta clase de ataques, los delincuentes exigían 500 dólares (en bitcoins) para proveerles la clave de cifrado con la que podrían recuperar sus archivos. De allí su nombre. "Ransom" en inglés significa rescate.

Había poco por hacer, a decir verdad. Al revés que la mayoría de los virus actuales, que tratan de pasar inadvertidos y, por lo tanto, no afectan los archivos, los ransomware hacen blanco en los documentos y arrasan con ellos. Hay variantes de este modus operandi, pero se reducen, grosso modo, a dos. O cifran archivos y piden plata a cambio de darnos la clave para descifrarlos o bloquean el acceso a Windows sin cifrar nada.

El escenario más temible es aquel en el que nuestros documentos fueron cifrados, porque o pagamos o perdemos esa información. Para muchos (un contador, por ejemplo), no hay demasiadas opciones; es eso, o quedarse sin sus clientes. Me dice Martín que conoce a 5 personas que pagaron el rescate.

Pero también es cierto que cuantas más víctimas paguen, más ransomware llegará a nuestras máquinas. A propósito, muchas personas pagaron el rescate, pero pudieron descifrar sólo algunos de sus archivos. Y no, no hay una ventanilla de reclamos, olvidate.

En el caso de Cynthia, echó mano del ShadowExplorer (http://www.shadowexplorer.com), un programa gratis que sirve para recuperar archivos borrados o acceder al historial de archivos en los Windows domésticos. Por supuesto, no puede garantizar que se restauren todos los ficheros, ni mucho menos sus últimas versiones. Como se verá después, y como dice la gente de ShadowExplorer, este programa no reemplaza las copias de respaldo.

Eventualmente, aparecen algunos servicios que permiten descifrar los archivos (sin cargo), como explica Brian Krebs en este artículo (http://krebsonsecurity.com/2014/08/new-site-recovers-files-locked-by-cryptolocker-ransomware/ ), pero uno no puede apostar a que esto siempre ocurra.

Así que hay que concentrarse más bien en dos aspectos. Prevenir los ataques y estar preparado para revertir el daño, si caemos en la trampa. Una cosa es segura: los ransomware ya están aquí, en español (algunas traducciones apestan, eso sí) y van por más. Pensar que no nos va a pasar es un muy mal negocio.

Modos de ataque

¿Cómo se propagan los ransomware? Normalmente, como troyanos. Es decir, un adjunto que llega por mail, con algún pretexto que te obliga a abrir el archivo. Se llama ingeniería social y enseguida volveré sobre este asunto.

En el caso de Cynthia, fue un correo electrónico con un adjunto con la extensión .SCR. Los .SCR son protectores de pantalla de Windows y resultan ideales para engañar. Como no terminan en .EXE (la extensión más conocida de los programas ejecutables), creemos que son seguros. ¿Qué puede haber más inofensivo que un protector de pantalla?

La mala noticia es que los .SCR pueden contener código ejecutable. Lo mismo ocurre con los .PIF (Program Information File), que normalmente no tienen nada ejecutable, pero que serán tratados por Windows como si fueran .EXE en el caso de contenerlo. Los .CAB (Cabinet, los comprimidos de Windows) y los .ZIP pueden también ocultar un programa malicioso. La lista de extensiones que corresponden a archivos ejecutables es bastante extensa; pueden verla aquí, para varias plataformas (http://www.file-extensions.org/filetype/extension/name/program-executable-files).

Usualmente, el ataque de los ransomware se da en dos pasos. En el primero, abrimos el adjunto y se pone en marcha un downloader que descarga de Internet la versión más reciente (y, por esto, más difícil de detectar por el antivirus) del malware. Hecho esto, se pondrá en marcha el proceso de cifrado. Cuando termine (dependiendo del número y tamaño de los archivos, llevará más o menos tiempo) aparecerá la nefasta advertencia.

A veces la advertencia es más o menos vistosa, como en el caso del CTB-Locker que atacó la máquina de Cynthia; en otros, como el CryptoWall que se infiltró en la PC de la colega de Martín, era un simple archivo de texto que se mostraba al arrancar y apagar el equipo.

Otra forma de ataque es por vía de las supuestas actualizaciones que los sitios nos dicen que tenemos que descargar para poder ver un video o acceder a una página. Nunca sigas estas instrucciones. En 10 de 10 casos son virus. Si un sitio pide instalar algo para seguir, cerrá la página de inmediato. Usar extensiones como WOT (https://www.mywot.com) o Netcraft (http://toolbar.netcraft.com) es muy aconsejable. WOT en particular advierte a tiempo si el sitio al que estás por entrar es poco confiable.

Dos herramientas específicas para ponerles coto a estos bichos. Por un lado, SpywareBlaster (http://www.brightfort.com/spywareblaster.html), que usa killbits para bloquear controles ActiveX dudosos. Por otro, CryptoPrevent (http://www.foolishit.com/vb6-projects/cryptoprevent/), que evita que los ransomware copien sus archivos en el disco de nuestra máquina y bloquea las extensiones ejecutables falsas, entre otras cosas.

Muy bien, sabemos entonces que las buenas prácticas de seguridad incluyen no darles doble clic a adjuntos, no seguir links que nos llegan por chat o correo y no instalar algo que un sitio nos exige para poder acceder a un contenido (sobre todo a un contenido muy tentador). Entonces, ¿por qué tantas personas caen en la trampa?

Un momentito

El principal motivo es la todopoderosa ingeniería social, el cuento del tío virtual. Sin embargo, tiene un punto débil. Para que funcione, la ingeniería social requiere que la víctima haga clic en un link, doble clic en un adjunto o instalar un programa. Es decir, ejecutar alguna acción. Eso nos da uno o dos segundos para pensar si no estamos por caer en una trampa. Como dije en esta columna (http://www.lanacion.com.ar/1728781), la clave contra la ingeniería social –en Internet o en el mundo real– es pensar dos veces, tomarse siempre (siempre) unos segundos antes de hacer ese clic o ese doble clic.

Si tratamos de memorizar la lista de las extensiones riesgosas en Windows, nunca vamos a ganar la batalla contra el pirata. Si tratamos de saber si todos los componentes del equipo están actualizados, lo mismo. La solución no pasa por ahí, sino por decir que no ante la más mínima duda. A las 12 y media de la noche te llega una factura dentro de un ZIP, y sabés que el remitente baja la persiana a las 6 y no da señales de vida hasta las 9 del otro día. Es raro. Y si es raro, algo está mal.

La ingeniería social, por supuesto, también echa mano de otro truco siniestro. Infecta la máquina de un amigo, de tu esposa, de un proveedor, de tu jefe, y luego envía el archivo infectado a todos sus contactos, incluyéndote. Vos creés que el mail viene de tu hermano o tu jefe, y confiás. Mal hecho. No importa de quién venga, pensá siempre dos veces (o tres) antes de darles clic a adjuntos y links.

Otra artimaña despreciable, pero sumamente efectiva, es vestir el mensaje con una advertencia policial, con logos y todo. O como un mail de, por ejemplo, PayPal. O como una alerta fiscal. Si la ley o el dinero están involucrados, casi todo el mundo se asusta, deja de pensar y hace clic, que es lo que el delincuente busca. Hay pues una regla universal aquí: cuanto más grave es la situación que te presentan en el mail (te acusan por narcotráfico, te dicen que tu tarjeta de crédito es falsa o que tu declaración jurada está fraguada), más probable es que sea un virus.

Preparados

Ahora, supongamos que cometiste el error de darle doble clic al adjunto equivocado y entró un ransomware. ¿Qué sería lo único que podría salvar el día? Exacto: un backup lo más actualizado que se pueda.

Entre paréntesis, como dije antes, cifrar lleva tiempo. Una cosa que podés hacer, si te das cuenta de que algo muy malo acaba de pasar, es apagar la computadora de inmediato y reiniciarla con un disco de rescate. Es fácil crear un Linux Live en un pendrive (http://www.lanacion.com.ar/1488015) y usarlo para arrancar la PC y copiar los documentos, y sólo los documentos, fuera de la computadora. Quizá logres rescatar una parte sustancial.

Si tenés un backup actualizado, no hay mucho de qué preocuparse. Si te atacó un ransomware, podés formatear ese disco, volver a instalar Windows y las aplicaciones y recuperar tus archivos desde el backup. Ya sé, es un dolor de espalda. Pero mucho peor es tener que formatear, instalar y encima perdiste todas las fotos de tu boda o todos los XLS de tus clientes.

Un buen software gratis para hacer backup, aquí: http://www.2brightsparks.com/freeware/freeware-hub.htm. Otra solución es usar la Nube, mediante servicios como Dropbox, Google Drive o One Drive, de Microsoft.

Ahora bien, es más fácil pregonar el backup que hacerlo. Por eso, la única copia de respaldo que realmente sirve es la automática. En esta nota (http://www.lanacion.com.ar/1568031) varias estrategias de backup entre las que podés elegir la que mejor se adapte a tus usos, costumbres y hardware.

Conforme a los criterios de

Conocé más