Cryptolocker virus del año 2015 y 2016 en España

El el cuarto trimestre del año 2013 comenzaron en España a aparecer los primeros ataques de lo que se iba a convertir, en uno de los negocios más lucrativos de la ciberdelincuencia. Ya en ese último trimestre del 2013 observamos distintas infecciones en nuestros clientes de mantenimiento informático, que venían camufladas en aún malos intentos para sustituir correos legítimos del servicio de CORREOS o de HACIENDA. Los clientes sin embargo en algunas ocasiones los confundieron como legítimos al estar personalizados con el nombre del destinatario o de la empresa.

Cryptolocker se convierte a partir de ahí en un quebradero de cabeza para gestores de copias de respaldo y mantenimiento de sistemas, incluso en clientes institucionales. Este virus está catalogado dentro de la familia de los virus ransomware, pero al convertirse en el más popular por número de infecciones en algunos países, se ha terminado usando su nombre común para englobar todas las amenazas de este tipo o de dicha familia de virus.

El funcionamiento básico es siempre similar, sin apenas variaciones a nivel de concepto:

  • cifrar documentos
  • pedir rescate para poder recuperar dichos ficheros.

En la mayoría de los casos las campañas de infección van personalizadas por países por cuestiones de idiomas y usos lingüísticos, pero incluso hay versiones que han evolucionado para geolocalizar la dirección IP de la víctima infectada y mostrar así las instrucciones de pago en el idioma del país que corresponde. Otras versiones lo muestran en el idioma del navegador pues se vinculan con el para mandar la clave de cifrado a un servidor externo o bien por medio de una web o bien por medio de un servidor intermedio.

Los pagos se piden normalmente en Bitcoin, Euros y Dólares.  y El contacto con los delincuentes se tiene que realizar a través de la red TOR en algunos casos, para impedir que las fuerzas del orden puedan rastrearles. En otros una simple cuenta de GMAIL o de un servidor gratuito vale para contactarles. Normalmente como son campañas puntuales, pasados 15 días de la infección si no se ha realizado el pago ya dejan de contestar desde dichos buzones de correo y la recuperación resulta imposible. Así evitan rastreos por las autoridades que normalmente se demoran más en comenzar a rastrear a los cyberdelincuentes.

A lo largo del año 2014 se fueron popularizando dichos ataques, tanto con usuarios domésticos como con usuarios de empresas e incluso ciertas instituciones públicas. En muchos casos los cyberdelincuentes no eran conscientes de la magnitud de las infecciones realizadas.

En algunos casos, los 500/600 € de media que pedían para el rescate de los datos, se convirtió en varios miles de euros cuando son conscientes de la gravedad de la infección.

Durante este año 2015 hemos visto como han mejorado los ataques para tratar de saltarse todas las defensas pasivas de nuestros ordenadores:

  • Cambian la firma del antivirus para que no seas detectado por la mayoría de los antivirus conocidos comerciales o gratuitos.
  • Ya no cometen fallos a la hora de cifrar los ficheros y comienzan tanto en las unidades locales como luego en las unidades de red.
  • Aparecieron nuevas mutaciones del virus, pues al ser un negocio tan rentable, los grupos que delinquen se han especializado mucho.
  • Los pagos son cada vez menos rastreables, incluso con métodos de pago por WESTERN UNION, Bitcoin, etc… para evitar todo posible rastreo del dinero.
  • Han expandido el uso masivo de correos infectados,  pero también han innovado para comprar en el mercado de la cyberdelincuencia algunas vulnerabilidades aún no conocidas de sistemas operativos y poder explotarlas.
  • Están innovando en los nuevos sistemas operativos con “scrips” tanto en la “powershell” que viene por defecto en sistemas operativos de Microsoft como en versiones de Mac que han empezado a normalizar como objetivos de sus ataques dada su implantación actual.
  • Están comenzando a migrar también su expansión a tabletas digitales, teléfonos móviles inteligentes y otros dispositivos. Aunque su gran mercado será siempre el PC y SERVIDORES de empresa por el valor que tienen sus ficheros almacenados si no hay copia de respaldo o logran cifrarla.

Por todos estos motivos, desde IbéricaMultimedia nombramos a este virus, el más nocivo de todo el 2015 y lo será del 2016 en cuanto a destrucción y peligrosidad.

Cómo Protegernos de Cryptolocker

De cara a protegernos, debemos recordar que Cryptolocker tiene necesidades diferentes a las del malware habitual, pues no necesita ni autoreplicarse ni intentar reinfectar otros dispositivos, e incluso una vez cifrados los documentos puede llegar a borrarse a si mismo del sistema, dejando sólo unos ficheros HTML indicando como contactar con el cyberdelincuente.

Es por eso que tampoco les importa que los antivirus les detecten una vez se ha lanzado el ataque. Si es posible lanzar una rutina de cifrado cuando lanzan el ataque, aunque sean detectados minutos más tarde u horas, puede sea demasiado tarde. Con servidores de alto rendimiento hemos visto cientos de gigas cifrados en menos de 15 minutos (lo que tardó el usuario en contactar con nosotros remotamente).

Los métodos de detección por firma heurística no son en la mayoría de estos casos efectivas, ya que antes de lanzar un ataque masivo probarán que dichas tecnologías no detectan la nueva versión, y dicha versión puede ser cambiada incluso varias veces en una hora para evitar dichos muestreos.

Por lo tanto en algunos casos, una buena planificación del sistema de copias de seguridad o de respaldo, será la única vía para recuperar todos los datos y conseguir minimizar el ataque lo más posible. Existen también herramientas de monitorización avanzada de ejecución en los equipos clientes, pero pueden penalizar el rendimiento de dichos equipos y la experiencia del usuario.

De momento en las versiones que conocemos cifran las extensiones más comunes de ficheros que creen valiosos para el usuario. En los últimos casos hemos visto incluso como mueven los ficheros pesados a otra ubicación para seguir cifrando lo más rápido posible la mayor cantidad de ficheros. Si la tarea no es cancelada a tiempo cifrará finalmente todos los ficheros incluso los pesados que haya movido.

Desde IbéricaMultimedia y para minimizar en la medida de lo posible la pérdida de datos, tanto para clientes de MANTENIMIENTO INFORMÁTICO como para clientes particulares, hemos puesto en marcha un servicio que hace copia de respaldo en la nube mediante un agente de copia, que por un coste ínfimo de 4 euros al mes, nos permitirá tener hasta 30 versiones de nuestros ficheros online.

Este servicio es multiplataforma, funciona en dispositivos Windows y dispositivos MAC, e incluso podemos agrupar en una misma cuenta varios dispositivos de un mismo usuario.