Ransomware Ibiza : cuando los hackers secuestran tu ordenador

Un día llegas al trabajo o abres tu ordenador y... ¡sorpresa!, no solo no puedes entrar en el mismo si no que además aparece un mensaje que llena la pantalla y que te indica con la mayor desvergüenza que tu ordenador ha sido encriptado y a menos que pagues un rescate, generalmente en bitcoins, no se te enviará la clave de desencriptación. Para aumentar tu stress, un contador va restando segundos, minutos y horas al plazo de tiempo que te han marcado como límite para efectuar el pago : cuando el contador marque un desazonador "cero" tu ordenador se volverá irrecuperable. Nadie está libre de esta plaga que se ha convertido en un serio quebradero de cabeza para gobiernos, empresas y particulares.

¿Qué es exactamente un ransomware? Se trata de un pequeño software que se ha colado en tu ordenador y que metódicamente ha ido encriptando todos los archivos del mismo. Puede ser tan sencillo como añadir un dígito extra al nombre del archivo o tan complejo como alterar el código binario usando un algoritmo de alta complejidad.

¿Cómo se ha colado en mi ordenador? Hay varias maneras. Si eres un usuario final, es decir, que cuenta con un ordenador en su casa para navegar por Internet, lo más probable es que haya entrado al visitar una página de dudoso origen o al descargar de forma inadvertida el adjunto de un correo. En cambio si tu ordenador forma parte de una organización, por ejemplo la red informática de una oficina, se puede haber colado a través de otro ordenador o bien desde el servidor, incluso desde un router que no cuente con firewall.

¿Qué debo hacer para protegerme del ramsomware? lo principal es mantener actualizado el sistema operativo del ordenador. Si eres usuario de Windows, acceder a Windows Update e instalar todas las actualizaciones presentes y sobretodo las de seguridad. A veces este paso es tedioso y la gente lo obvia porque tarda mucho rato, pero es imprescindible. Lo segundo es activar el firewall del ordenador y de la red, si estás en una oficina o lugar con muchos ordenadores conectados a la misma. En tercer lugar debemos seguir una estricta política en el manejo del correo, lo que incluye herramientas antispam y antivirus. En cuarto lugar disponer de herramientas específicas anti-ransomware (que a menudo están incluidas en el antivirus, aunque no siempre) y de backup, de manera que si pasa lo irremediable los datos puedan ser recuperados.

¿Se puede limpiar un ordenador de ransomware? En algunos casos sí, en otros no. Va a depender de qué tipo de ransomware nos ha atacado. Hay algunos hackers oportunistas que emplean ransomware ya conocido y buscan simplemente ordenador sin protección para obtener una ganancia rápida. En estos casos es casi seguro que hay herramientas de limpieza disponibles y en pocas horas se podrá recuperar el sistema. Por eso para los hackers es importante que tomes una decisión de pagar el rescate lo antes posible : saben que si tardas mucho es que estás buscando una solución sin tener que abonar nada a los delincuentes. Pero en otros casos la encriptación se ha hecho ad hoc y solo el encriptador sabe la manera de limpiarla.

¿No sería mejor pagar y recuperar mis archivos? Pues no. Pagar es muy mala idea. Sobre todo porque nadie te garantiza que te envíen la forma de desencriptar el sistema y una vez has pagado va a ser muy difícil recuperar tus bitcoins, una criptomoneda casi imposible de rastrear. En segundo lugar porque a veces el ataque es múltiple y no solo incluye tu pobre ordenador, si no también las redes de grandes organizaciones que son su objetivo principal. Digamos que la encriptación de tu ordenador es una cortina de humo, el hacker va a por la piezas grandes porque sabe que una gran compañía pagará antes para salir de la situación en que se halla. Al final realizas el pago pero al hacker no le importa, no sabe ni siquiera quién eres. Recibe tus bitcoins pero no te envía el método de desencriptado porque si lo hace está desvelando la manera de solucionar el problema y eso podría llegar a oídos de la empresa afectada que era su presa más codiciada.
Finalmente está eso que dicen de que pagando favoreces la ciberdelincuencia, que queda como muy bonito pero ya sabemos que es más retórico que real.

¿Hay herramientas que me protejan de los ransomware? Sí, las hay, y son bastante efectivas.

1. Bitdefender : se trata de un antivirus que además incorpora protección contra ransomware multicapa y además permite escanerar todos los dispositivos vinculados a la cuenta Bitdefender Central. No obstante es un anti virus "pesado" , consume muchos recursos del ordenador, y no es gratuito aunque tampoco caro, alrededor de unos 30 euros al año.

2. AVG : existe una versión gratuita que es bastante efectiva pero si quieres la mejor protección debes ir a la de pago. Trabaja en segundo plano y por tanto no consume muchos recursos pero los escaneados profundos pueden tardar una eternidad. Al igual que ocurre con Bitdefender, cuida todos los dispositivos del sistemas (incluyendo móviles) ya que en una época donde el cloud domina es un sinsentido desvincular las soluciones antivirus para cada dispositivo que empleemos. Eso sí, AVG es muy pesado emitiendo advertencias y consejos sobre tu sistema, hasta el punto de querer estrangularlo cuando estás viendo una peli de netflix y se obstina en recordarte que la versión de pago es chupi-guai con un pop up que te ocupa el 80% de la pantalla. Pa matarlo, vamos.

3. Lo escrito para AVG también es aplicable a AVAST, con versión gratuita bastante eficaz pero bastante coñazo en cuanto a mensajes y advertencias. Trabaja muy bien detectando malware y estudiando las vulnerabilidades de tu sistema aunque la solución de las mismas pasa por la versión de pago.

4. Webroot SecureAnywhere : es de pago, pero de las mejores. Sobre todo porque es muy liviana y parece que no está pero presenta una eficiencia comparable a los sistemas de pago que te ocupan el 50% de los recursos del ordenador. Lo hemos puesto en cuarto lugar porque los organismos internacionales que evalúan el software antivirus no suele evalua Webroot pero los que usamos estas herramientas damos fe de su fiabilidad.

¿Y si ya estoy infectado? Si has llegado a este artículo de Connectü es porque probablemente estás con el agua al cuello. Pues aunque la pantalla de tu ordenador de auténtico pavor, hay solución en un porcentaje elevado de casos.

1. Malwarebytes : es el Santo Grial para salvar tu sistema cuando todo lo que has probado antes ha fallado. Hay una versión premiun y otro gratuita. Cuando lo instalas por primera vez se activa como Premiun durante 14 días y si transcurrido el tiempo no pagas, se vuelve básico pero aún así funciona bastante bien. Hace un escaneo profundo del sistema y protege frente a futuros problemas por medio de análisis heurístico. Si ya has sido infectado, lo mejor es desconectar el ordenador de la red (cambia incluso el password del Wifi si usabas este medio para alcanzar Internet), los usb, la impresora, todo. Descarga Malwarebytes en otro ordenador en buen estado y cárgalo en un pendrive (usb). De hecho esto es algo que deberías tener siempre a mano, por si acaso. Reinicia el ordenador y presiona F8 hasta que aparezca la bios del PC. La bios es un pequeño programa que está cargado en una ROM (Read Only Memory) y permite un manejo básico de algunas condiciones del ordenador, como la preminencia en la carga del operativo, el manejo de la alimentación etc. Iremos hacia el menú Bootup. Al entrar veremos que tenemos varias opciones para arrancar el ordenador. Ahora está en HD (Hard disk, el disco duro del sistema) que ha quedado inutilizado por el ransomware. Debemos cambiar el orden de manera que lea el USB en primer lugar, arrancando el sistema desde el mismo. Cuando enchufemos el pendrive y reiniciemos el PC, Malwarebytes actuará limpiando (ojalá) todo tu sistema.

2. Avast Free Ransomware Decryption Tool : esta herramienta es en realidad una colección de pequeños programas cada uno de los cuales actúa sobre un tipo de ransomware. El sistema te guía a buscar de cuál se trata por la manera en que encripta tus archivos o incluso compara el archivo original que has guardado en un backup previo (si lo has hecho, claro, si no olvídate) con el encriptado y te sugiere la clave de desencriptación gracias a esa comparación. Es más tedioso de usar que Malwarebytes pero puede actuar contra ransomware no habitual. A usar después de fracasar con Malwarebytes, aunque para muchos es su primera opción.

3. Kaspersky Anti-Ransomware : se trata de una herramienta preventiva diseñada para empresas - no muy grandes - y aunque no limpia ni repara hace una cosa muy importante, vigilando las amenazas y a los usuarios de las redes de empresa que son el principal aliado (involuntario, pero aliado) de los ataques de ransomware. Kaspersky es una herramienta en la nube que recoge la experiencia de múltiples ataques y los previene en las redes que maneja. Es una herramienta más destinada a los administradores de redes que al usuario final.

En Connectü tenemos una amplia experiencia en la protección preventiva de redes y en la limpieza de sistemas cuando estos ya han sido atacados.