¿Cryptolocker?

¿Qué es?

Es un malware de tipo troyano programado por un ruso llamado Evgeny Rogachev (en busca y captura por el FB I, que dicen las malas lenguas que ya está dispuesto a apoquinar tres millones de dólares por él) que encripta los datos de los ordenadores infectados y luego demanda un pago para desencriptarlos. Es por esta posterior demanda por la que a este tipo de malware se le conoce como ransomware.

¿Cómo ataca?

Es normalmente contraído a través de un archivo adjunto de correo, muy habitualmente desde un correo, presuntamente, de Correos (otras veces de la Policía). Se descarga un archivo ZIP que contiene un ejecutable camuflado como PDF. Este ejecutable instala el troyano Zeus, que luego instala el cryptolocker. Si se ejecuta ese archivo, bien porque el antivirus no exista, no esté actualizado o porque se trate de un ataque tipo “día cero”,  los datos de las unidades locales y las unidades de red pasan a encriptarse bajo una clave RSA de 2048 bits (prácticamente indescifrable por métodos normales) alojada en los servidores de los que distribuyen este malware.

Otro vector muy habitual de infección es por la existencia de otro malware tipo botnet en el ordenador afectado que se descarga este otro malware.

Es importante insistir en que no sólo encripta las unidades locales, sino que también afecta a las unidades de red conectadas, ya sean dentro de la red local, en unidades que se conecten vía RDP (Terminal Server, Citrix, etc… ), archivos guardados en Google Drive o Onedrive. Incluso los pendrives o unidades externas que se conecten al archivo infectado pasarán a ser encriptados.

Este malware no encripta los archivos de sistema del ordenador sino sólo algunos tipos de archivos, entre los que se encuentran los de Office, OpenOffice, LibreOffice, Autocad, imágenes, PDFs… Es decir, ataca a los datos que tenemos guardados, no a la salud del sistema propiamente dicha.

¿Se puede eliminar?

El Cryptolocker, como tal, es fácilmente eliminable, ya que no utiliza un sistema complicado de ocultación propia. El problema es que cuando se detecta, el daño ya está hecho y nuestros datos ya están encriptados, dejándonos únicamente dos salidas: Pagar, con el riesgo de que tras pagar los delincuentes no sean gente honrada y no nos suministren el programa de desencriptación; o reinstalar de cero el sistema afectado, perdiendo los datos pero asegurándonos de que no queda traza alguna de este ransomware.

¿Existe protección contra Cryptolocker?

En informática el 100% de seguridad nunca existe, pero en este caso hay tres líneas de defensa a tener en cuenta:

-Cultura del usuario: Un usuario consciente de que ha de mantener el sistema de antivirus actualizado, de que debe usar un sistema anti-spyware y de que lo que pueda llegar por correo o lo que se pueda ejecutar bajado de internet tiene un riesgo es la primera y más importante línea de defensa.

-Antivirus local: Suele ser bastante efectivo, más como prevención en su faceta de mantener el ordenador de otros malwares que puedan provocar la entrada del cryptolocker por alguna puerta trasera. Para ello hay que mantenerlo actualizado y activado. Si el antivirus contiene un elemento anti-spyware, la efectividad aumenta.

-Seguridad perimetral:  Mediante el uso de equipos actualizados de seguridad de red se puede filtrar prácticamente al 100% este tipo de problemas, siempre que estos equipos sean capaces de hacer análisis de tráfico, para filtrar los contenidos (correo, aplicaciones, webs peligrosas…) antes de que las amenazas puedan llegar a las dos líneas de defensa anteriormente mencionadas. En estos momentos la seguridad perimetral es la mayor garantía que podemos poner por nuestra parte para asegurar la buena salud de nuestras infraestructuras tecnológicas. Por desgracia, el coste de los equipos sigue siendo bastante elevado, con lo cual muchas empresas consideran que su presupuesto no admite este tipo de inversiones.

Para que se hagan una idea, un equipo mediano de Watchguard, con un plan de actualización de tres años puede costar unos 1500 €, aproximadamente, más el coste de instalación y configuración, variable en función de la complejidad de lo que se quiera hacer. Existen equipos de otras marcas más baratos, pero son lógicamente menos efectivos y robustos. Digamos que éste sería el precio de entrada a la gama profesional de seguridad perimetral para una Pyme de entre cinco y diez empleados con una conexión a internet de fibra de 300 MB. En todo caso, este coste hay que compararlo con el posible coste que tendría la pérdida de los datos de uno o varios ordenadores personales o servidores, más la reinstalación y reconfiguración de los equipos afectados. Si se hace esta cuenta, en realidad es una inversión muy rentable.

Espero haber ayudado a resolverles alguna duda, o incluso haberles creado alguna más. Ambas cosas serían buenas.