De último momento se ha visto afectada gran parte de la comunidad, sobre todo en Europa por un nuevo virus, en este caso un ransomware, denominado WannaCry, el cual toma posesión de los archivos de la computadora y los cifra. Los archivos no son liberados a menos que se pague cierta cantidad de dinero en BitCoins a los atacantes.

Hace menos de 24 horas, uno de los principales afectados fue Telefónica, el principal operador móvil de España. Hasta ahora se han visto afectadas universidades, hospitales y empresas en Europa y Asia principalmente, sin embargo ya en América se comenzó a ver y México no es la excepción.

ransomware

Distribución hasta ahora del ransom Wannacry a nivel mundial.

¿Qué es Ransomware?

Proviene de la palabra ransom, que se puede traducir como rescate. Es un software malicioso, el cual bloque todos los archivos de tu computadora y pide a cambio del código de desbloqueo dinero. La manera en que funciona es que este virus entra a la computadora a través de algún archivo infectado, el cual se instala en la misma y una vez hecho esto se comunica directamente con un servidor centralizado para obtener la información necesaria y pedir el rescate por la misma. Una vez hecho, cifra bajo un algoritmo la información, la cual no estará disponible hasta que se pague el mismo. Dependiendo de la persona que lo haya creado, el código malicioso puede aumentar el precio mientras más tiempo pase o eliminar definitivamente los archivos.

WannaCrypt 2.0

En este caso, el ransomware que se encuentra expandiéndose ahora por el mundo se trata de una variante del troyano Wanna Decryptor, el cual utiliza un algoritmo de cifrado AES-128. Este afecta el sistema cuando la víctima abre algún archivo, presumiblemente algún DOC o PDF desde correos electrónicos que contienen el código malicioso. La parte más peligrosa, es que silenciosamente el virus pasa a través de la LAN a las demás computadoras conectadas en red para hacer lo mismo. Así es que si una computadora conectada al intranet de una empresa está afectada, puede propagarlo rápidamente a las demás. El primer rescate va cerca de los $ 300 USD en BitCoins y si no es depositado en cierto tiempo, sube el precio.

El ataque de este ransomware, hasta ahora, afecta principalmente a los sistemas Windows, cifrando sus archivos y propagándose en el intranet para hacer lo mismo con el resto de las computadoras en red. Microsoft hace unas horas acaba de lanzar un parche para protegerse y las versiones que fueron parchadas son: Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 and R2, Windows 10 y Windows Server 2016.

¿Qué hago si me infecté?

Existen herramientas para poder descifrar los archivos, sin embargo no serán del todo útiles, ya que si el ransomware ya se propagó a todos los archivos del disco duro, será casi imposible recuperarlos debido que el algoritmo utilizado para el cifrado es uno de los más fuertes para ser descifrados, ya que se basa en una matríz de 4×4 en bloques de 128 bits, lo cual con un descifrado de fuerza bruta sería imposible ya que este algoritmo usa 2120 operaciones lo cual lo hace imposible prácticamente. En este caso lo mejor será formatear el disco duro y sí… perder la información, a menos que se tenga un respaldo.

Nosotros firmemente creemos que no debes de ceder y pagar en el caso de estar infectado, ya que además de que no garantiza que con el pago te desbloquearan tus archivos, esto incentiva a los ciber criminales a seguir haciendo este tipo de ataques ya que son muy redituables.

Sugerencias para protegerse

  1. Siempre hay que ACTUALIZAR el sistema operativo, ya que como en esta ocasión para el caso de Windows, incluye parches para evitar la vulnerabilidad.  Aquí el comunicado de Microsoft.
  2. Haz un respaldo de tus archivos y almacénalo en un disco duro físico que no se encuentre conectado a internet. Sugerimos hacer respaldos a este cada 3 meses.
  3. No abras documentos o links sospechosos, sobretodo si llegan a través de correo electrónico o de redes sociales.
  4. En el caso de Windows, evita y desconfía de los archivos ejecutables (.EXE) que no provengan de un proveedor confiable, ya que estos pueden contener el código malicioso que se instalará oculto en segundo plano.
  5. Mantén actualizado tu antivirus y descarga algún programa anti malware.

Tengan mucho cuidado, ya que el virus está sumamente propagado y a pesar de afectar principalmente los sistemas Windows, puede ser modificado para afectar sistemas Unix, como Mac y Linux. Comparte y mantente informado, hagamos comunidad.