¿Qué es ransomware y cómo puedo protegerme de Petya y Bad Rabbit?
El último malware se llama Bad Rabbit y, según Kaspersky, se dirige tanto a consumidores como a empresas. Hasta ahora se han observado ataques en Rusia y Ucrania, pero esto podría cambiar.
Después de los ataques de WannaCry y 'NotPeyta' en el verano, hay un nuevo ransomware que se está extendiendo por todo el mundo. Ransomware le impide acceder a cualquier archivo en la computadora 'infectada' hasta que pague el rescate. Aquí explicamos lo que debe hacer para proteger sus valiosos datos.
El último malware se llama Bad Rabbit y, según Kaspersky, se dirige tanto a consumidores como a empresas. Hasta ahora se han observado ataques en Rusia y Ucrania.
Álex López, director general de F5 Networks en España "Los antivirus comunes no son capaces de detectar y bloquear el virus Bad Rabbit, lo que significa que los usuarios podrían estar infectados sin saberlo. Un primer análisis indica que el script del malware identifica a los usuarios objetivo y les envía un aviso falso de actualización del programa Adobe Flash. Cuando el usuario lo acepta, se descarga el malware y se produce el ataque de cifrado. Si no disponen de controles estrictos y soluciones de seguridad adecuadas, la seguridad de las empresas queda en manos de sus usuarios".
ESET ha informado que el metro de Kiev y el aeropuerto de Odessa se han visto afectados por una nueva versión del infame ransomware Diskcoder, que también podría ser Bad Rabbit en el trabajo.
El malware parece ser descargado automáticamente cuando los usuarios visitan sitios web legítimos, pero como no utiliza ningún exploit como con el ransomware anterior, depende del usuario para ejecutar el programa manualmente. Se presenta como un instalador de Adobe Flash.
Cuando se ejecuta el programa, muestra un mensaje similar a otro ransomware y le dice a los usuarios que envíen casi 300$ a una cuenta de Bitcoin.
Según ESET países como Turquía, Bulgaria y otros países de la zona además de Rusia y Ucrania se ven afectados.
También existe la amenaza constante del grupo responsable de filtrar las vulnerabilidades de WannaCry. Shadow Brokers, como se lo conoce, ya había dicho que escaparía a más vulnerabilidades y un informe de Reuters describió la publicación del blog del grupo que dice que está "configurando un depósito de datos mensual" que se venderá a cualquiera que esté dispuesto a pagar.
Dice que los exploits permitirán a los delincuentes codificar malware que irrumpirá en los navegadores web, teléfonos, enrutadores y sistemas de Windows 10. Sin embargo, puede utilizar nuestros consejos a continuación para ayudar a mantener sus computadoras y archivos seguros.
¿Qué es ransomware?
Es un programa malicioso que es como un virus informático. Está diseñado para escanear sus discos duros y cifrar tantos archivos como sea posible para que no pueda acceder a ellos. Los archivos todavía están allí y tienes que pagar una suma, el rescate, para recuperar tus archivos. Esto generalmente se hace a través de Bitcoin, ya que es anónimo.
A veces, se requiere la intervención humana manual de los hackers para descifrar sus archivos una vez que haya pagado. Pero dado que se trata de delincuentes, no hay motivo para pensar que harán lo que prometen. Entonces la mayoría de los expertos recomiendan que no pagues.
¿Cómo funciona el ransomware?
Al igual que muchos programas maliciosos, puede llegar como un archivo adjunto de correo electrónico. Este método se basa en los usuarios de computadoras que abren el archivo adjunto, o haciendo clic en un enlace en un correo electrónico, lo que hace que el programa se ejecute.
La gente a menudo abre estos archivos adjuntos o hace clic en enlaces por curiosidad, porque el remitente es alguien en su libreta de direcciones. Entonces, el mejor consejo es no abrir nada en lo que no confíes completamente.
En el caso de Petya, el ataque apunta a los administradores de sistemas de las redes corporativas, ya que necesita acceder a esas credenciales de alto nivel para tomar el control de tantas otras computadoras en la red como sea posible.
Esto significa que, incluso si todas las máquinas se han actualizado con la actualización de Microsoft de marzo de 2017, aún existe la posibilidad de que tenga éxito.
Algunos ransomware sobrescriben la sección MBR del disco duro del ordenador, el Master Boot Record, que impide que Windows se inicie, y también detiene el acceso a los archivos.
En ocasiones, se han publicado soluciones o herramientas para que las víctimas recuperen sus datos.
En el caso de Bad Rabbit, como se explicó anteriormente, se dice que llega como una "descarga directa", lo que significa que se guarda automáticamente en su disco duro cuando visita un sitio web. Sin embargo, parece ser inofensivo en este estado y puede eliminarse. Es solo si ejecuta el programa (que se enmascara como un programa de instalación de Adobe Flash) que puede llegar a funcionar encriptando sus archivos.
¿Qué versiones de Windows se ven afectadas?
A diferencia del ransomware anterior, las indicaciones son que Bad Rabbit no usa ninguna de las vulnerabilidades de Windows. Entonces, aunque esto significa que cada versión de Windows se ve "afectada", en realidad es el usuario quien puede causar el daño ejecutando manualmente el programa descargado. Por lo tanto, tenga mucho cuidado con lo que hace clic y asegúrese de que su antivirus esté actualizado.
El reciente ataque NotPetya se enfocó principalmente en empresas que usan la misma vulnerabilidad 'EternalBlue' que WannaCry. Microsoft emitió un parche para corregir ese agujero de seguridad para todas las versiones de Windows en marzo de 2017.
Debido a que Windows se predetermina a la instalación de actualizaciones automáticamente, eso significaba que la mayoría del ordenadores del hogar estaban a salvo. Las empresas que desactivan la función aún podrían estar en riesgo si no han instalado el parche.
Si su ordenador ejecuta Windows 10, también debería estar protegido.
Microsoft incluso emitió un parche de seguridad para Windows XP y Windows 8, un paso muy inusual para los sistemas operativos no compatibles, que puede descargar de los enlaces en el blog de Microsoft.
¿Cómo puedo proteger mis archivos del ransomware?
Si tiene Windows Update habilitada, su PC debe estar protegido de las versiones existentes de ransomware. Sin embargo, esto no significa que sea 100% seguro; aún debes seguir los siguientes consejos.
Si no estás seguro de si sus ordenadores están actualizados, abre el Panel de control (encontrará un enlace en el menú Inicio) y busca Windows Update. Haz clic en Windows Update y podrás verificar si está habilitado o no.
Debe haber un botón 'Buscar actualizaciones' en el que puedes hacer clic para forzar a Windows a buscar e instalar actualizaciones críticas.
Mejor prevenir...
La mejor protección es tener al menos una (si no dos) copias de cualquier archivo que no pueda permitirse perder. Las fotos, videos caseros, documentos financieros y otros archivos que no pueden ser reemplazados deben ser respaldados regularmente.
Ransomware suele ser lo suficientemente inteligente como para escanear su red doméstica e infectar otros ordenadores e incluso unidades de almacenamiento en red (unidades NAS), por lo que es muy importante realizar una copia de seguridad en una memoria USB o disco duro externo que desconecte y guarde de forma segura en algún lugar.
No abra archivos adjuntos
Como usuario de la ordenador, a menudo es el eslabón débil de la cadena. El software antivirus y de Windows (consulte a continuación) puede ayudarlo a protegerse de los ataques de ransomware, pero puede ayudarse a sí mismo al estar atento a qué archivos adjuntos de correo electrónico abre, qué enlaces hace clic y qué archivos descargados ejecuta.
Por lo general, los correos electrónicos de los hackers no contendrán un mensaje personal, o serán tan genéricos que no puedes estar seguro de que sean realmente de la persona en el campo 'remitente'.
En el caso de WannaCry, al menos algunos de los correos electrónicos se hicieron pasar por un correo electrónico importante de un banco sobre una transferencia de dinero.
Simplemente elimina el correo electrónico, o llame al remitente y pregúnteles si le enviaron el correo electrónico y lo que está en el archivo adjunto, o en el otro extremo del enlace. A menos que estés absolutamente seguro de que el archivo adjunto es seguro, no haga clic en él.
¿Me protegerá el software antivirus del ransomware?
La mayoría de los programas antivirus, pero no todos, ahora contienen 'anti-ransomware' que debería ayudar a proteger sus PC y portátiles de WannaCry y otros ransomware.
Es por eso que es importante no confiar solo en la propia seguridad de Windows, sino agregar una capa adicional de protección con alguna solución adicional.
Mi PC está infectada con ransomware. ¿Que debería hacer?
Primero, no pagues el rescate. Solo alienta a los delincuentes: recibir el pago es su juego final. Y no hay garantía de que recuperará sus archivos, incluso si paga.
Si tienes una copia de seguridad de tus archivos, es posible que pueda restaurar tu máquina a la configuración de fábrica utilizando una partición de recuperación oculta. O podría ser un caso de reinstalar Windows. Luego tendrás que volver a instalar sus aplicaciones y copiar sus archivos respaldados.
"Uno de los mejores mecanismos de protección son los parches", dijo Marty P. Kamden, CMO de NordVPN.
"Otra forma de protegerse es interrumpir un sistema antes de que arranque, ya que el ransomware se ejecuta al arrancar. Después de que el dispositivo se infecta con un ransomware, esperará aproximadamente una hora hasta que se reinicie. Se requiere reiniciar para que un malware cifre el sistema, por lo que en ciertos casos, si el dispositivo termina en el proceso de cifrado, se interrumpe y la información se puede guardar ".
