CryptoWall, el virus que secuestra nuestros ficheros de datos

No es una nueva amenaza, de hecho hace muchos años que existe este tipo de malware. CryptoWall, CryptoLocker, CryptoFortress, CryptoDefence, TeslaCrypt, … son diferentes variantes que han ido apareciendo a lo largo del tiempo.

Realmente se trata de troyanos que actúan como ramsomware (secuestradores de software) en sistemas operativos Windows.
Son extremadamente peligrosos y debemos conocer su modo de actuar para estar prevenidos de su posible infección.

Últimamente CryptoWall 3.0 está causando estragos a empresas y particulares, aquí explicaremos como se cuela en nuestros sistemas, qué daños son los que causa, cómo eliminarlo y cómo prevenirlo.

Métodos de infección

Normalmente se contagia a través del correo electrónico, recibimos un mail con un enlace o un fichero adjunto y al pinchar sobre ellos comienza la infección.

Abajo os muestro un ejemplo real ocurrido a uno de nuestros clientes, un mail de Correos (aparentemente) escrito en buen castellano, con un enlace para la entrega de una carta certificada.

cryptowall-correos

 

Otro ejemplo:

cryptowall-ups

En otras ocasiones puede ser un mail de una compañía aérea con la confirmación de sus billetes de avión u otros engaños del mismo corte, siempre bien hechos y bien redactados.

También se producen contagios a través de la descarga de archivos de sitios no confiables o la navegación por páginas no seguras o dudosas.

Proceso de infección y consecuencias .-

En el momento que clicamos sobre ese enlace o fichero empieza el vía crucis :

.- Primero, al pinchar sobre el enlace ofrecido o sobre el fichero descargado, el virus se introduce e instala en el ordenador y modifica el registro del sistema para ejecutarse cada vez que lo iniciemos.

.- A continuación el virus contacta con sus creadores, genera e intercambia unas claves de cifrado que son las que va a utilizar para secuestrar nuestros archivos.

.- Comienza la encriptación. Basándose en la clave de cifrado descargada, empieza a cifrar los archivos, borrando a continuación los originales. Es decir, nuestros archivos siguen estando en el ordenador, mantienen el mismo nombre, pero están encriptados y como no conocemos la clave de cifrado no podemos abrirlos, además el original ha sido borrado.

Según la versión del virus, puede llegar a encriptar todos los archivos del ordenador, los de extensión conocida doc, docx, xlsx, ppt, pptx, psd, jpg, pdf, … o algunos archivos específicos, es el caso del TeslaCrypt que secuestra archivos de partidas guardadas.

Cuidado, el virus no se para aquí, continúa hacia todos los ordenadores y dispositivos de la red, especialmente a aquellas unidades y carpetas mapeadas en el ordenador donde se inició el contagio.

El chantaje

Es la hora del chantaje, aparece una pantalla en donde se nos solicita una cantidad de dinero (unos 500$ en Bitcoins) para que nos envíen la clave de desencriptación. Incluye claras instrucciones en perfecto castellano para realizar el proceso de pago y descifrado de los ficheros secuestrados.

Abajo os muestro un ejemplo real ocurrido a uno de nuestros clientes, un mail de Correos (aparentemente) escrito en buen castellano, con un enlace para la entrega de una carta certificada.

 Nos dan un plazo para el pago y si no se realiza en ese tiempo van incrementando el precio del rescate.

Reproducción del texto del mensaje que aparece en algunas de las distribuciones de Cryptowall:

¿Qué pasó con sus archivos?

Todos sus archivos han sido protegidos usando un potente cifrado RSA-2048 con CryptoWall. Encontrará más información acerca de las claves de cifrado con RSA-2048 en el siguiente enlace: http://es.wikipedia.org/wiki/RSA

¿Qué quiere decir esto?

Quiere decir que la estructura y datos de sus ficheros han sido cambiados de forma irrevocable; no podrá trabajar con ellos, leer o verlos, es como si los hubiera perdido para siempre, pero con nuestra ayuda puede recuperarlos.

¿Cómo ha podido ocurrir esto?

Expresamente para usted, hemos generado en nuestro servidor un par de claves secretas RSA-2048 (pública y privada). Todos sus archivos han sido cifrados con la clave pública, que se ha enviado por internet a su ordenador. La única opción para descifrar sus archivos es con ayuda de la clave privada y el programa de descifrado, que se encuentran en nuestro servidor secreto.

¿Qué es lo que tengo que hacer?

Si no sigue las instrucciones necesarias a tiempo, cambiarán las condiciones para conseguir la clave privada. Si le importan sus datos verdaderamente, le aconsejamos que no pierda su tiempo valioso en buscar otras soluciones porque no existen.
Para leer instrucciones más detalladas, por favor visite su página web personal. Abajo hay varios enlaces que le llevarán hasta allí.

1. hxxps://kpai7ycr7jxqkilp.torexplorer.com/3koe
2. hxxps://kpai7ycr7jxqkilp.tor2web.org/3koe
3. hxxps://kpai7ycr7jxqkilp.onion.to/3koe

Si por cualquier motivo los enlaces no funcionan, siga los siguientes pasos:

1. Descargue e instale el navegador Tor: hxxp://www.torproject.org/projects/torbrowser.html.en
2. Cuando finalice la instalación, abra el navegador y espere a que se cargue.
3. Escriba en la barra de direcciones: kpai7ycr7jxqkilp.onion/3koe
4. Siga las instrucciones de la página.

Hay que tener en cuenta que hoy por hoy no es posible la desencriptación de los archivos, están cifrados con el sistema criptográfico RSA 2048 y no se puede romper.

Se puede limpiar la infección, pero no se puede devolver los archivos a su estado original.

La recomendación de los expertos en seguridad es unánime, no hay que pagar a menos que sea estrictamente necesario (casi nunca). No tenemos la seguridad de que pagando nos envíen la clave de desencriptación ni de que ésta funcione. Por otro lado, el pago estará financiando a los criminales, que seguirán creando malware.

Eliminación del virus .-

Si nos damos cuenta de que algo está sucediendo en nuestro ordenador antes de que el virus haga su trabajo, o al menos no todo su trabajo, debemos apagar el ordenador inmediatamente. Apagar significa, en este caso, desconectar el cable de alimentación del ordenador, desenchufarlo de la red eléctrica, inmediatamente.

No debemos volver a iniciarlo, si lo hacemos el virus continuará con su infección. Hay que llevarlo a un centro de asistencia técnica y advertir que está infectado con el virus.

Así evitaremos que contagie todos los archivos y que borre los ficheros originales.

Si queremos eliminar el virus nosotros mismos, seguiremos los siguientes pasos:

.- Iniciaremos el ordenador desde un CD o DVD con un antivirus en modo “rescate” incorporado. Podemos utilizar Kaspersky Rescue Disk, Norton Power Erase, … debemos asegurarnos que el antivirus ha encontrado el virus y lo ha eliminado.

.- A continuación iniciaremos normalmente el ordenador. Si tras reiniciar el PC vuelven a aparecer las pantallas de CryptoWall no hay que preocuparse, no se trata del virus son las imágenes (inofensivas) de la petición del rescate. Para evitar su aparición hay que eliminar los correspondientes ficheros del menú Inicio.

En la red se recomiendan utilidades antimalware como  SpyHunter, que en su versión de pago es capaz de eliminar la infección y prevenirla (ésta amenaza y muchas otras).

Otra utilidad es Malwarebytes Anti-Malware, la eliminación de los malwares es gratuita, pero la protección residente es de pago.

Recuperación de los fichero encriptados .-

Lo primero que debemos saber es qué ficheros nos ha cifrado, para ello existe la utilidad gratuita OmniCryptoFinder que nos dará un informe de los archivos que han sido secuestrados. Al menos conoceremos el alcance de los daños.

Los ficheros encriptados no se pueden recuperar, desencriptar. Debemos de utilizar otras maneras para intentar recuperar nuestra información:

.- La primera y más importante es la Prevención, no debemos abrir ningún correo del que desconozcamos su procedencia o no tengamos la seguridad que es para nosotros. Ni mucho menos pinchar en un enlace o descargar un archivo. Y qué decir de la navegación por sitios dudosos o la descarga de contenidos de “esos sitios”.

A ver, si no nos vamos de viaje, ¿ por qué abrimos un fichero que se supone contiene los billetes de avión ?

.- Información. Mantengámonos informados de los peligros que acechan en la red, de vez en cuando debemos informarnos de las cosas que van ocurriendo, la información nos previene.

.- Copias de seguridad, asignatura pendiente para muchas empresas y la inmensidad de los usuarios domésticos. Si tenemos copias de seguridad actualizadas solamente sufriremos el inconveniente de limpiar el sistema o reinstalarlo.

Pero cuidado, no sirve una copia que se aloja en el mismo ordenador, ya sea en el disco interno, en otro dispositivo externo conectado (disco, lápiz de memoria, …) ya sea USB, ethernet, bluetooth, u otro ordenador de la red. Una de las principales prioridades de cualquier virus es la de propagarse y cualquier medio les vale.

Las copias de seguridad deben guardarse en dispositivos locales desconectados (físicamente) de los sistemas o en la nube. En definitiva, donde el virus no tenga acceso.

.- Mediante un Recuperador de archivos borrados. CryptoWall borra los ficheros originales, pero no lo hace mediante borrado seguro, por tanto es posible recuperar archivos si hemos apagado el ordenador a tiempo, durante la infección o posteriormente, si apenas se ha utilizado el ordenador. Cuanto más tiempo pasa y más archivos se escriben en el disco, menor es la probabilidad de rescatar documentos borrados. Por eso es tan importante apagar el ordenador cuanto antes y mejor a la brava, tirando del cordón de alimentación eléctrica. Y no volver a encenderlo.

.- Mediante el Historial de Archivos.- En algunos sistemas operativos (Windows 8, Windows 8.1, Windows 10) existe una utilidad llamada Historial de Archivos, que si está activa guarda en un dispositivo externo de almacenamiento de gran capacidad copias de nuestros archivos que realiza cada hora. Si es nuestro caso, podremos recuperar las versiones almacenadas de nuestros ficheros.

.- Mediante una Utilidad de descifrado especial. En algunos casos, en pocos casos, es posible descifrar los archivos secuestrados gracias a que se ha recuperado la clave en posesión de los criminales, normalmente porque han sido detenidos. La página gratuita DecryptCryptoLocker descifra archivos secuestrados por variantes antiguas. Adelanto que no sirve para CryptoWall.

Para prevenir las infecciones de virus existen mil maneras, ninguna definitiva. Pero debemos protegernos para minimizar el riesgo.

Fundamentalmente debemos tener instalado en nuestro ordenador un buen antivirus y antimalware, mantenerlos actualizados al día y pasarlos periódicamente.

Hay otras utilidades que modifican nuestro sistema y evitan que se puedan instalar los virus blindando nuestro ordenador, es el caso de CryptoPrevent, una herramienta que deshabilita los permisos aprovechados por los criptovirus para iniciarse en el arranque de Windows.

También se puede utilizar un bloqueador de publicidad en nuestro navegador que bloquea anuncios engañosos en las páginas web que visitamos. Es, por ejemplo, uBlock.

Ignacio Alonso
Dpto. Técnico

 

Un comentario sobre “CryptoWall, el virus que secuestra nuestros ficheros de datos

  1. hola , a la fecha de hoy 20 de Diciembre del 2015, sabes si hay alguna manera de recuperar archivos encriptados con el RSA 2048 ??
    agradezco mucho tu información, saludos y feliz Navidad !

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *