CryptoLocker fue un virus que entre 2013 y 2014 dio muchos quebraderos de cabeza al mundo, tanto es así, que fue necesario un equipo global para poder «acabar» con él. Y a día de hoy, versiones del mismo siguen siendo una amenaza muy presente. En este artículo explicaremos qué es el virus CryptoLocker, cómo funciona, cómo eliminarlo del ordenador y cómo podemos protegernos ante él.
En este artículo hablamos de:
¿Qué es el ransomware CryptoLocker?
CryptoLocker es un malware bien conocido que puede ser especialmente dañino para cualquier organización basada en datos. Una vez que se ha ejecutado el código, cifra los archivos en los escritorios y los recursos compartidos de la red y los «retiene para pedir un rescate», lo que solicita a cualquier usuario que intente abrir el archivo que pague una tarifa para descifrarlos. Por esta razón, CryptoLocker y sus variantes se conocen como «ransomware».
El malware CryptoLocker puede ingresar a una red protegida a través de muchos vectores, incluidos el correo electrónico, los sitios para compartir archivos y las descargas.
Las nuevas variantes han eludido con éxito las tecnologías antivirus y de firewall, y es razonable esperar que sigan surgiendo más que puedan eludir las medidas preventivas.
¿Qué hace el virus CryptoLocker?
Como hemos dicho, el malware CryptoLocker es un ransomware, de manera que lo que hace, una vez se ha descargado e instalado en el equipo de la víctima, es cifrar sus archivos, lo que impide que los usuarios puedan acceder a estos, al no tener la clave de descifrado que exige el virus.
Esto provoca, si no se cuenta con copias de seguridad offline, pérdida de información para la víctima. Además, CryptoLocker atacaba, como veremos en el siguiente punto, un amplio abanico de extensiones de archivo, lo que hacía que pocas carpetas estuvieran a salvo del mismo.
¿Cómo funciona este malware?
Como decíamos, el virus informático CryptoLocker cifra los archivos del ordenador infectado, para lo que, a diferencia de algunos ransomware, emplea un sistema de cifrado asimétrico; primero crea una clave de cifrado pública (RSA de 2048 bits) para bloquear los archivos del ordenador y luego genera una clave de cifrado privada, que se guarda en un servidor secreto.
CryptoLocker, que se instalaba dentro del perfil de usuario y creaba persistencia (puesto que se ejecutaba siempre al reiniciar o iniciar el equipo) buscaba y cifraba diferentes extensiones de archivo, como imágenes, documentos de Microsoft Office y Open Document, archivos de Autocad, etc. Además, si el dispositivo estaba conectado a una red, se propagaba a cualquier otro equipo conectado a la misma, para seguir cifrando archivos.
Una vez terminaba de cifrar todos los archivos que encontraba, aparecía un mensaje de aviso en el que se mostraba una cuenta atrás; se daba a las víctimas un plazo de entre 72 y 100 horas para pagar a cambio de la clave de descifrado, que sería destruida pasado ese tiempo. El primer pago que se solicitaba era de 300 dólares en criptomonedas, cantidad que se incrementaría pasado ese primer plazo.
Así mismo, sus autores crearon poco después de los primeros ataques de CryptoLocker, un servicio en línea en el que prometían, a cambio de una suma más elevada de dinero, desbloquear los archivos cuya clave privada hubiese sido destruida.
Curiosamente, los creadores de CryptoLocker anticiparon que la mayoría de antivirus lo detectaría y lo eliminaría o lo dejaría en cuarentena (lo que no solucionaba el problema de los archivos cifrados). Esto hizo que en el mensaje de aviso de la infección de CryptoLocker, sus autores indicarán que si el antivirus lo había eliminado del ordenador, era necesario recuperar el ransomware CryptoLocker descargándolo de nuevo o sacándolo de la cuarentena, para, en caso de hacer el pago del rescate, poder usar la clave de descifrado.
¿Cómo se propaga CryptoLocker?
Entre las características de CryptoLocker, también encontramos su modo de propagación. A diferencia de los gusanos informáticos, que se replican a sí mismos, CryptoLocker recurría a dos modos de propagación:
- A través del correo electrónico, empleando técnicas de ingeniería social para engañar a sus víctimas y hacerlas descargar un archivo adjunto que, o bien, contenía el ejecutable de CryptoLocker oculto en un archivo PDF (se trataba de emails que imitaban a empresas legítimas como FedEx o UPS).
- A través del troyano ZeuS, que se ocupaba de descargar el ransomware. Este troyano podía venir incluido con una supuesta aplicación o software legítimo, o se distribuía a través de la botnet GameOver ZeuS.
¿Qué daños produce CryptoLocker?
Al bloquear CryptoLocker los archivos de los ordenadores y redes infectadas, los daños producidos fueron cuantiosos, especialmente para empresas, que vieron bloqueados datos e información imprescindible, incluso crítica, para su funcionamiento.
No pagar (que es lo que siempre aconsejamos respecto al ransomware), implicaba que expirado el plazo de 100 horas, la clave de descifrado sería destruida, lo que dejaría para siempre (o hasta que se consiguiese dicha clave por otros medios) los archivos cifrados inservibles.
Como decíamos más arriba, se estima que los autores de CryptoLocker consiguieron «recaudar» más de 27 millones de dólares.
Y aunque el CryptoLocker original logró «vencerse», durante los siguientes años han seguido apareciendo nuevas cepas y variaciones del mismo o ransomware que toman partes de este, lo que significa que, aunque hay algunas soluciones para la infección de CryptoLocker, si la cepa que ha infectado nuestro equipo o red empresarial aún no tiene «vacuna» (se ha averiguado la clave de descifrado), no podremos acceder a los archivos bloqueados.
¿Quién creó el CryptoLocker?
Siempre es difícil señalar al creador de un malware, sin embargo, en el caso del virus CryptoLocker, el FBI señaló a Evgeiny Bogachev, un ciudadano ruso de 31 años, como el responsable de su creación y distribución, junto a otros virus y troyanos.
La historia de CryptoLocker nos lleva de septiembre de 2013 a finales de mayo de 2014; este ransomware se dirigió contra ordenadores con diferentes versiones de Windows, de los que llevó a infectar en torno a 34.000 equipos, solo en ese período de tiempo.
En 2014, un grupo de trabajo internacional, conocido como Operación Tovar, consiguió «derrotar» a CryptoLocker al derrumbar la botnet que se utilizaba para distribuirlo, Gameover ZeuS y dejando a disposición pública y gratuita las claves de descifrado de CryptoLocker.
En cualquier caso, se estima que los autores detrás de CryptoLocker consiguieron extraer más de 27 millones de dólares en criptomonedas.
Ejemplos de cryptolocker
El éxito de CryptoLocker generó una serie de troyanos de ransomware no relacionados y con nombres similares que funcionaban esencialmente de la misma manera, incluidos algunos que se refieren a sí mismos como «CryptoLocker», pero no están relacionados con el CryptoLocker original.
En septiembre de 2014, otros cryptovirus como CryptoWall y TorrentLocker (cuya carga útil se identifica a sí misma como «CryptoLocker», pero se llama así por el uso de una clave de registro llamada «Aplicación Bit Torrent»), comenzaron a difundirse en Australia; el ransomware utiliza correos electrónicos infectados, supuestamente enviados por departamentos gubernamentales como carga útil.
Para evadir la detección mediante escáneres automáticos de correo electrónico que pueden seguir enlaces, esta variante fue diseñada para requerir que los usuarios visiten una página web e ingresen un código CAPTCHA antes de que se descargue la carga útil.
¿Cómo se previene el ransomware CryptoLocker?
Prevenir el ransomware CryptoLocker pasa por seguir una serie de consejos de seguridad:
- Para empresas o administradores de red; dado que CryptoLocker cifra archivos a los que puede acceder desde la cuenta de usuario, se recomienda implementar un modelo de privilegios mínimos, de manera que los usuarios solo tengan acceso a los recursos que necesiten.
- Realizar copias de seguridad de todos los archivos o, como mínimo, de aquellos que contengan información crítica o relevante para la empresa o para el usuario particular. Estas copias deben mantenerse desconectadas del equipo (por ejemplo, usando un disco duro externo), para evitar que las afecte el ransomware en caso de infección. También se pueden hacer copias en la nube, pero tened en cuenta que CryptoLocker llegó incluso a cifrar archivos en ella.
- No descargar archivos adjuntos de emails de desconocidos y, en caso de que parezca un correo legítimo, mirar y revisar bien la dirección del remitente.
- Igualmente, no pulsar en enlaces de correos sospechosos.
- Solo descargar programas y aplicaciones de fuentes oficiales y verificadas.
- Mantener software y hardware siempre actualizado, para evitar vulnerabilidades que sean explotadas por los ciberdelincuentes.
- Dado que CryptoLocker empleaba técnicas de ingeniería social para hacer más creíbles sus emails fraudulentos, limitar la información que publicamos en línea.
- Tener instalado una solución de seguridad que detecte y elimine cualquier tipo de ransomware o virus.
¿Cómo se elimina el ransomware CryptoLocker?
Eliminar el ransomware CryptoLocker de nuestro ordenador es fácil, básicamente cualquier antivirus actual puede reconocerlo y eliminarlo de nuestro equipo, solo necesitamos realizar un escáner (mejor si es completo) del sistema y esperar a que lo detecte y lo envíe a cuarentena, desde donde podremos eliminarlo con facilidad.
Eliminar CryptoLocker del ordenador, impedirá que siga cifrando archivos, pero el problema está en que los archivos afectados seguirán cifrados, lo que nos lleva nuestro siguiente punto, algunas herramientas de descifrado que se han ido publicando con los años para poder recuperar el control de nuestros archivos, pero, como decíamos más arriba, dependiendo de la cepa o cryptolocker que nos haya infectado, es posible que estas herramientas no funcionen.
Cabe señalar que si tenéis una copia de seguridad, podréis restaurar los archivos afectados sin más problemas, solo debéis aseguraros de haber eliminado CryptoLocker de vuestro equipo.
Pero en caso de que no dispongas de una copia de seguridad actualizada (o ninguna copia de seguridad, que deberías hacer cuando termines de leer este artículo), existen algunas herramientas de descifrado a las que podéis recurrir.
Herramientas de descifrado de ransomware AVG
Desafortunadamente, las herramientas de eliminación de ransomware de AVG no están disponibles en un paquete ordenado, pero están disponibles en el sitio web de la compañía como descargas gratuitas en forma de diferentes archivos para combatir múltiples cepas de ransomware.
Las herramientas creadas por la compañía eliminan a tu computadora de algunos de los ransomware más conocidos, como CryptoLocker. AVG ha enumerado muy bien los síntomas comunes de cada ataque con un enlace de descarga para que puedas eliminar el programa malicioso de tu equipo. Esto te permite identificar correctamente el ransomware y solo utilizar la herramienta de eliminación específica para la amenaza.
Puede que no sea la herramienta más avanzada de esta lista, pero es una forma extremadamente fácil de deshacerse de cualquier software problemático sin instalar los paquetes más grandes en tu máquina.
Trend Micro Lock Screen Ransomware
La herramienta Trend Micro Ransomware Screen Unlocker Tool está diseñada para eliminar el ransomware de la pantalla de bloqueo de tu PC infectado en dos escenarios diferentes: el ransomware de la pantalla de bloqueo está bloqueando el «modo normal», pero el «modo seguro» con la red sigue siendo accesible, y el ransomware de la pantalla de bloqueo es bloqueando tanto el «modo normal» como el «modo seguro» con la red.
Ten en cuenta que este producto solo funcionará con bloqueadores de pantalla. Si tus archivos se han cifrado, deberás buscar en otra parte.
EMET de Microsoft
El Enhanced Mitigation Experience Toolkit (EMET) de Microsoft ayuda a elevar el nivel contra los atacantes de ransomware al proteger contra amenazas nuevas y no descubiertas, incluso antes de que se aborden formalmente mediante actualizaciones de seguridad o software antimalware.
Hay 12 mitigaciones de seguridad en EMET que complementan otras medidas de seguridad de defensa en profundidad, como Windows Defender y otro software antivirus, que se instalan con perfiles de protección predeterminados, como archivos XML que contienen configuraciones preconfiguradas para aplicaciones comunes de Microsoft y de terceros.
HitmanPro.Alert
HitmanPro.Alert convierte tu computadora en una víctima altamente indeseable al bloquear las técnicas centrales y explota los usos del malware para esconderse del software antivirus. También detecta cripto-ransomware, simplemente observando los comportamientos que exhiben estas amenazas.
Incluso hace que el malware compatible con sandbox se elimine por sí mismo al vacunar o camuflar tu PC como investigador de virus.
En definitiva, la mejor forma de prevenir un ataque de ransomware como el de CryptoLocker es realizar copias de seguridad periódicas y no pagar nunca el rescate de los archivos, porque nada garantiza que vayáis poder recuperarlos.