Definición
CryptoLocker es un virus ransomware que restringe el acceso a los ordenadores infectados mediante el cifrado de sus contenidos. Una vez infectadas, las víctimas deben pagar un “rescate” para descifrar y recuperar sus archivos.
El método primario de infección consiste en correos electrónicos de phishing con archivos adjuntos malintencionados. Estos correos electrónicos están diseñados para ser muy parecidos a los de empresas legítimas y a notificaciones de seguimiento falsas de FedEx y UPS.[1]
Los atacantes disfrazan a los archivos adjuntos que contienen el ransomware CryptoLocker para engañar a sus víctimas y convencerles de que cliquen en el archivo adjunto que activa el ataque. Después, las víctimas deben pagar un rescate para descifrar sus archivos. El CryptoLocker se diseminó entre principios de septiembre de 2013 y finales de mayo de 2014.[2]
La formación en ciberseguridad empieza aquí
La prueba gratuita funciona de la siguiente manera:
- Reúnase con nuestros expertos en ciberseguridad para evaluar su entorno e identificar su exposición a riesgos.
- En un plazo de 24 horas y con una configuración mínima, desplegaremos nuestras soluciones durante 30 días.
- ¡Conozca nuestra tecnología en acción!
- Reciba un informe que identifica sus vulnerabilidades de seguridad para ayudarle a tomar medidas inmediatas frente a ataques de ciberseguridad.
Rellene este formulario para solicitar una reunión con nuestros expertos en ciberseguridad.
Un representante de Proofpoint se comunicará con usted en breve.
Historia
El primer ataque del CryptoLocker ocurrió entre el 5 de septiembre de 2013 y finales de mayo de 2014. Se identificó como un virus troyano (un código malintencionado que se hace pasar por algo inocuo) dirigido a ordenadores con diversas versiones del sistema operativo Windows. Penetraba en los sistemas seleccionados mediante correos electrónicos falsos diseñados para ser muy similares a los de empresas legítimas y a notificaciones de seguimiento falsas de FedEx y UPS.
Una vez que una máquina se infecta, el ransomware CryptoLocker encuentra y encripta archivos localizados en unidades de red, unidades USB, discos duros externos, archivos compartidos en red y hasta algunas unidades de almacenamiento en la nube. Para principios de noviembre de 2013, el malware CryptoLocker había infectado a unos 34.000 equipos, principalmente en países de habla inglesa.[3]
En el 2014 se publicó una herramienta de descifrado para este malware. Sin embargo, diversos informes sugieren que el CryptoLocker logró extorsionar más de 27 millones de USD a sus víctimas.[4]
Prevención
El US-CERT aconseja a los usuarios que eviten las infecciones por ransomware CryptoLocker realizando copias de seguridad periódicas de sus archivos importantes y almacenando estas copias en dispositivos sin conexión. Los usuarios también deben tener software antivirus actualizado y mantener al día sus software y sistemas operativos con las actualizaciones más recientes.
Por otra parte, los usuarios deben evitar el abrir enlaces presentes en correos electrónicos no solicitados y tener cuidado al abrir archivos adjuntos. Y, como siempre, la mejor prevención es el implementar buenas prácticas de seguridad al navegar en internet.[1]
¿Cómo eliminar el CryptoLocker y recuperar archivos?
Una vez que sus usuarios detectan un ransomware, deben desconectarse de la red inmediatamente. Si es posible, deben llevar físicamente el ordenador que han estado usando a su departamento de TI. Solo el departamento de seguridad informática debe intentar bloquear el CryptoLocker y hacer un reinicio.
Uno de los factores clave en su respuesta es decidir si pagar el rescate o no. Esa decisión debería basarse en el tipo de ataque, qué miembros de su red han quedado comprometidos y qué permisos de red tienen los titulares de las cuentas comprometidas.[5]
Los ataques de ransomware son delito, y las organizaciones deben comunicarse con las autoridades si resultan víctimas de estos. Los técnicos forenses pueden garantizar que sus sistemas no resulten comprometidos de otras maneras, recopilar información para proteger mejor a las organizaciones en adelante y procurar detectar a los atacantes.
A veces, los investigadores de seguridad ofrecen descifradores que pueden descifrar los archivos gratis, pero no siempre están disponibles y no funcionan en todos los tipos de ataques de ransomware.
Si las organizaciones han seguido buenas prácticas y tienen copias de sus sistemas, pueden restaurar rápidamente sus sistemas y reanudar sus operaciones de trabajo con normalidad.[4]
[1] U.S. Computer Emergency Readiness Team (US-CERT), “Infecciones por el ransomware CryptoLocker”
[2] Dan Goodin (Ars Technica). “Está infectado. Si quiere recuperar sus datos, páguenos 300 $ en bitcóin”
[3] Ryan Naraine (SecurityWeek). “Aumentan las infecciones por CryptoLocker”
[4] Proofpoint. “¿Qué es el ransomware?”
[5] Proofpoint. “Guía de supervivencia frente al ransomware”