Recientemente tuve la oportunidad de revisar el equipo de un cliente, el cual estaba infectado por un virus y lo mas recomendable en este caso (como sucede en muchos otros) era formatear. Sin embargo me encontré con un problema al respaldar los documentos del usuario, ya que no era posible abrir ningún archivo extraido del equipo como imágenes, documentos u otro tipo de formatos. ¿Cuál era el problema? que el equipo había sido infectado por un ransomware conocido como CryptoWall, el cual infecta de diferentes formas (correos o acceso a sitios dudosos) los equipos vulnerables y encripta los archivos de diferentes carpetas haciéndolos inaccesibles.
Cuando un usuario resulta infectado por CryptoWall resulta prácticamente imposible que no se dé cuenta de la infección. Nada más infectarse, se mostrará el siguiente mensaje (dependiendo del país en el que se encuentre la víctima es posible que se muestre una pantalla en el idioma del usuario):
Esta página avisa al usuario que sus ficheros han sido cifrados y que debe seguir una serie de instrucciones para recuperarlos. En realidad, el cifrado empieza una vez se ha mostrado este mensaje, cuando ya se ha establecido una comunicación entre el ordenador de la víctima y el servidor que utiliza el atacante para controlar todos los sistemas infectados.
Respecto a la forma de pago, CryptoWall ha utilizado muchas diferentes durante el tiempo que lleva activo. Comenzó aceptando tarjetas prepagas como Ukash, MoneyPak o Paysafecard para ir aceptando progresivamente criptomonedas como Bitcoin o incluso Litecoin. Esta es una tendencia similar a la que han tenido otras familias de ransomware como Cryptolocker o CTB-Locker, pensada para dificultar el rastreo del dinero pagado como rescate.
Respecto a la cantidad solicitada, actualmente se suelen pedir 500 dólares, aunque se han visto casos en los que la víctima ha llegado a pagar varios miles de dólares para recuperar su información. Seguramente, el delincuente supo, tras una primera comunicación con la víctima, cómo de importantes eran los datos para esta y se aprovechó de ello pidiéndole una cantidad superior. (No hay NINGUNA garantía de que realizando el pago se consiga la recuperación de los archivos)
Conclusión
CryptoWall ha demostrado ser una de las variantes de ransomware más activas y que más ha evolucionado desde su origen. Esto ha provocado que el número de usuarios afectados siga siendo importante cada vez que los delincuentes lanzan una nueva campaña para conseguir nuevas víctimas.
La defensa contra el ransomware (y el malware en general) pasa por la prevención, pero también por la educación de los usuarios. Las técnicas utilizadas por los delincuentes son cada vez más elaboradas y es necesario reconocer los posibles vectores de infección para mantener a salvo la valiosa información que almacenamos en nuestros sistemas de preferencia en medios externos. Te dejo un video donde se explica un poco mas detallado la forma en que trabajan este tipo de amenazas:
Sobre el autor