CryptoLocker

El CryptoLocker es un malware basado en la extorsión al usuario infectado. A diferencia de otros del estilo, este realiza un secuestro de los documentos del usuario y pide un rescate para poder recuperarlos con un tiempo límite.

El modus operandi de este ‘virus’ tiene varias opciones. En la primera, la víctima abre un correo, supuestamente de una empresa de logística, que contiene una contraseña y lleva adjunto un archivo ZIP encriptado. Cuando el usuario abre el archivo e introduce la contraseña accede a un fichero PDF en su interior. Evidentemente, se trata de un archivo falso que ejecuta el troyano y, con él, adiós a nuestros documentos (a no ser que paguemos su rescate).

La segunda opción es una url dentro de un correo electrónico que redirecciona al malware y como en el caso anterior, al acceder a él, el troyano directamente se activa sin necesidad de descargar nada. En otro sentido, pueden darse también ataques en escritorios remotos. Es importante tener en cuenta que para evitar ser víctima de CryptoLocker nunca se debe tener servidores con el servicio de escritorio remoto directamente expuestos en Internet, sin VPN ya que estamos más vulnerables si, por ejemplo, no mantenemos nuestro sistema actualizado. En caso de que el ataque sea por fuerzas mayores, lo ideal es tener contraseñas robustas que dificulten el robo.

Podríamos entrar a detallar en profundidad todos los aspectos técnicos en relación a cómo se ejecuta el troyano, y como infecta nuestro equipo, pero seguro que te interesa más saber cómo prevenir su ataque. Desde Trevenque Group te damos estos cinco consejos para prevenir la infección por el CryptoLocker:

  1. Mantén actualizado el sistema operativo con los últimos parches de seguridad. Igualmente, no utilices sistemas operativos no soportados por el fabricante. Por ejemplo, Windows XP, Windows Server 2003…
  2. Utiliza antivirus y tenlo actualizado (tanto en versión como en definiciones de virus). El antivirus no garantiza la integridad del sistema, pero sí ayuda.
  3. Controla mediante permisos el acceso a la información. Cada usuario debe tener solo acceso a la información que debe utilizar para su trabajo y no al resto. De esta forma, un usuario que quede infectado con un virus de este tipo (ransomware) solo pondrá en riesgo la información a la que él tenga acceso y no a la de los demás. En un entorno Windows, esto se puede hacer fácilmente con Active Directory.
  4. Debes hacer copia de seguridad de toda la información valiosa que esté en el equipo. Igualmente, debería haber una réplica de la copia en otra ubicación (por ejemplo, mediante backup online de Trevenque). Hazlas de forma periódica para asegurar que cualquier cambio que realices, estará protegido y mantendrá tu copia actualizada.
  5. Sentido común. Como norma, no abrir mensajes de correo que no esperemos, páginas web de dudosa reputación, conectar pendrives a nuestro equipo, etc. El mejor antivirus siempre es el usuario.

No podemos garantizar que tus archivos no sean raptados, pero sí podemos ayudarte a recuperarlos sin que tenga que intervenir un ‘negociador’: