Sin backup, podés perder todos tus archivos en cualquier momento.

  • -

Sin backup, podés perder todos tus archivos en cualquier momento.

Hasta fines del año pasado eran variantes de Cryptolocker. Ahora, sus hijos preferidos, evolucionados y mucho más ambiciosos: CryptoWall y CryptoDefense.

Muy bravos ellos, a poco de infectarte el equipo encriptan todos los archivos, buscan unidades de red y usb conectadas y las encriptan tambien. El antivirus? Bien, gracias.

Se trata de virus que mutan constantemente y hasta el momento ningún fabricante de antivirus dió con la fórmula para vacunarse contra ellos. Recien ahora aparecen herramientas de inmunización contra Cryptolocker 2.0, siendo que ya pasó el Cryptolocker 3.0 y ahora sus descendientes más modernos vuelven a dejarnos con los pantalones bajos.

Hasta hace poco, sólo se distribuían como spam en correos tramposos o a través de páginas muy sospechosas que exigían descargas de diversos plugins para mostrar su contenido. Así y todo, pese a lo inocente del intento, los delincuentes que administran el virus hicieron millones cobrando el rescate para devolver a las víctimas las claves que permitan desencriptar los archivos. Para empeorar un poco todo, ahora además se distribuyen haciendo uso de exploit kits que aprovechan cuanta vulnerabilidad de los navegadores y sus plugins encuentran.

Además de los ya conocidos falsos mails (algunos provenientes de FedEx, WesterUnion, Correo Argentino, varios bancos internacionales y locales) y páginas web de videos inéditos y transmisiones en vivo, puede uno infectarse por no tener actualizados los plugins del navegador (Flash, por ejemplo) y pasear inadvertidamente por una web destinada a meter el virus en las PCs visitantes.

El uso del equipo con un poco de sentido común es más que suficiente para evitar este tipo de infecciones en la mayoría de los casos:

  • Desechar mails sospechosos
  • No abrir links en los mails que uno no esperaba. Y si los esperaba, mejor tipearlos en el navegador
  • No abrir adjuntos que uno no pidió ni espera. Menos que menos si están en formato .zip o .rar. Y si los esperaba, guárdelo en una carpeta y revíselo con el antivirus antes de abrirlo, por lo menos. La máquina de quien le envía ese archivo podría estar apestada con cualquier cosa…
  • Utilizar sistemas operativos vigentes y que reciban actualizaciones. Y aceptar e instalar esas actualizaciones, especialmente las clasificadas como actualización de seguridad. Los usuarios de Windows XP y sistemas anteriores tienen muchísimas más chances de sufrir ataques de este y otros virus.
  • Tener el antivirus actualizado y, claro, verificar que esté funcionando y no enviando mensajes de alerta sobre su estado
  • No instalar plugins sólo porque lo pide una página web. Su navegador actualizado no necesita nada para reproducir un video. Si es el caso, busque por otra web o quédese sin verlo, que no pierde tanto al fin y al cabo!
  • La descarga de torrents para obtener software pirata, series pirata y películas pirata, pueden dejar sus archivos en manos de… piratas. Ahorrar $100 en una descarga puede costar $1000000000 en información perdida.

Sí. Dije PERDIDA

Si cuando se sienta en el equipo y trata de abrir la planilla de Excel en la que estuvo trabajando anoche, Excel le dice que no reconoce el formato del archivo, fíjese en el resto de los archivos que hay en esa carpeta. Si aparece algo parecido a lo de la imagen que ilustra este post (HELP_DECRYPT, o DECRYPT_INSTRUCTIONS… o algo así…) su información esta perdida. El virus debió dejar su computadora bloqueada y una aviso multicolor anunciando el hecho de que le secuestraron todos los archivos y ahora tiene que pagar, pero seguramente su antivirus se encargó de evitar esa parte del proceso. No la anterior, la que destruyó su información, pero sí la que le avisa lo que pasó. El virus encripta los archivos usando rutinas de programación propias de Microsoft, destinadas justamente a proteger la información, en base a claves muuuuuuuyyy largas y complejas. Terminado el proceso, elimina las claves y, supuestamente, las almacena en un servidor remoto bajo control exclusivo del delincuente.

Perdida para siempre?

Mmmm… casi seguro que sí. Digo casi, porque en ciertos casos hay esperanza:

Versiones anteriores de archivos: si usa Windows 7 o posteriores y tiene activada la Restauración de Sistema, configurada tambien para restaurar configuraciones y archivos, puede que recupere alguna versión anterior de su información previa al ataque. Las versiones 2.0 y 3.0 de CryptoLocker y las actuales distribuciones de CryptoWall y CryptoDefense pareciera que se cargan los puntos de restauración, así que esta opción no sirve.

Backup diario de la información: O semanal. O mensual. O cualquier período que considere prudente en caso de desastre. Si no le afecta perder el último año de trabajo, bueno… haga un backup por año. Pero si cada día de trabajo cuenta, haga un backup todos los días. Pero… si hace el backup en el mismo disco (aunque sea una partición diferente), o las copias de seguridad estan en un disco conectado al equipo atacado o aparece conectado como unidad de red en el momento del ataque, tiene todos los números para haber perdido tambien las copias de seguridad. Recuerde que al principio le conté que el virus busca en todos los discos y unidades de red accesibles…

A menos que tenga las claves de encriptación usadas por el virus, no hay manera de devolver los archivos a su estado original. Y esas claves sólo se obtienen pagando a los delincuentes lo que piden. Hacerlo no es una opción a tener en cuenta a menos que esté dispuesto a sufrir estos ataques con cierta frecuencia (el criminal ya sabe que usted es un pagador fácil) y no sería complicado que los archivos desencriptados que le devuelve contengan algún script de control remoto para acceder a su equipo cuando se le dé la gana, por ejemplo.

Como me protejo?

Lo dicho: primero el sentido común y las práctivas enumeradas más arriba. El backup frecuente de la información es ahora necesario hacerlo alternando los discos de destino. Es una buena manera de evitar estas tragedias el contar con no menos de 2 discos de backup y alternarlos diariamente. En todos los casos, es prudente desconectar el disco de backup al finalizar la copia. Por ejemplo:

  • Termino de trabajar hoy, conecto el disco 1 y comienza el backup. Me voy a casa.
  • Llego mañana a la oficina, desconecto el disco 1 y trabajo como siempre. Antes de irme, conecto el disco 2, comienza el backup y me voy…
  • Y asi…

Esto asegura que en el peor de los casos, si hoy sufre un ataque que destruye toda la información del equipos y la del disco de backup conectado, al menos tiene toda la información hasta la noche de ayer. Algo es algo.

Si utiliza un sólo disco de backup, hay varias cuestiones a tener en cuenta que pueden aminorar el daño:

  • El software de backup debería correr en un equipo diferente, conectado a la red pero en lo posible sin acceso a internet. Un equipo que NO se utiliza para navegar, ni descargar mails… un equipo para BACKUP y nada más sería el ideal.
  • El disco de respaldo, conectado a este equipo, tiene que tener capacidad suficiente para contener al menos 2 copias completas de la información a resguardar. Si su computadora fue atacada hoy, el backup copiará archivos inútiles. Pero al menos contará cn la copia de ayer.
  • Como el disco de backup no está conectado ni siquiera como unidad de red al equipo atacado, el virus no debería afectarlo. Por lo menos no con las versiones del virus conocidas hoy.

Resignación

Si la info no se puede recuperar de un backup ni de las versiones anteriores de archivos, no hay manera. Las herramientas de recuperación publicadas a la fecha sólo son útiles en un mínimo de casos y para Cryptolocker 1… de hace como 3 años. Por supuesto que en la web va a encontrar mil y una maneras de solucionar el tema, recuperar la data y de paso ganarse una Ferrari. Y todo por poca plata, además. Pero si después de todo lo leído, Usted entra en esa… es porque le encanta que lo estafen.

 

 


Buscar en JADM

Biblioteca