Los troyanos de cifrado siguen siendo un gran problema, según un informe de campo.
Algo desesperado, un cliente me llamó esta semana, todos los archivos de su ordenador han recibido una nueva extensión de archivo. Los archivos tienen ahora una extensión .craa y ya no se pueden abrir después de probar software de Internet.
Rápidamente me quedó claro que la causa era probablemente un troyano encriptador, lo que también confirmó una rápida búsqueda en Google. El ransomware Djvu, que lleva muchos años haciendo de las suyas, está detrás de esto. En cuanto le das una patada, el software empieza a cifrar los datos en segundo plano.
Documentos, archivos de texto, imágenes y vídeos se ven afectados.
Además, el troyano deja caer un archivo “readme”, que informa a la víctima en consecuencia y exige el dinero.
En cuanto al precio, la variante está dirigida a usuarios particulares. Su precio es de poco menos de 1000 dólares y hay un descuento para las primeras 72 horas. Se puede descifrar un archivo de forma gratuita como prueba de que los cibercriminales tienen la clave.
No hemos comprobado si esto funciona en la práctica. En cualquier caso, no es una buena idea tirar el dinero a los estafadores, así que esto sólo debería considerarse en casos excepcionales. Es mejor tener una copia de seguridad o una estrategia de copia de seguridad. Más sobre esto más adelante.
Limpie su ordenador
Como primera medida, se debe desconectar el ordenador de Internet. A continuación, se debe apagar el ordenador. Esto puede impedir que se sigan cifrando los archivos.
Los discos duros USB deben desconectarse del ordenador. Si se dispone de una copia de seguridad completa del sistema, se puede restaurar.
Es posible realizar una limpieza, pero debe llevarse a cabo sin iniciar el sistema operativo, por ejemplo, con Windows ToGo.
Si no se trata de una copia de seguridad, debe crearse una, por ejemplo, también desde Windows ToGo. Los archivos no deben utilizarse directamente, sino que sólo sirven como seguridad adicional, por ejemplo, en caso de que se reinstale Windows.
Reinstalar Windows es la opción más segura. Si tienes una copia de seguridad de los datos, ésta es la mejor manera.
Descifrado con herramienta
Me enviaron unos archivos. Todos archivos de texto. Un vistazo al archivo muestra el desastre. Aquí no se puede leer nada, todo está encriptado.
Existe cierta esperanza en forma de herramienta de descifrado. Sin embargo, esto ya amortigua la esperanza al principio.
Actualmente, el descifrado sólo es posible para variantes antiguas o para claves ya conocidas. En nuestro caso, es “mala suerte”.
Por supuesto, los desarrolladores del ransomware también saben que existen estos programas de descifrado y adaptan su software en consecuencia.
Enlaces
¿No es posible el descifrado? Y ahora, ¿qué?
Si el descifrado no es posible, los datos cifrados no deben eliminarse. Archivarlos es una buena idea en este caso. De esta forma, es posible que las claves se conozcan en algún momento y la herramienta de descifrado pueda utilizarlas en el futuro.
Estrategia de copias de seguridad para usuarios domésticos
Cómo toman precauciones los usuarios particulares? La respuesta es, ante todo, copias de seguridad. Lo ideal es hacer copias de seguridad periódicas en al menos dos discos duros USB. Uno de ellos no debería estar siempre conectado al ordenador, ya que de lo contrario se cifraría al mismo tiempo.
Si tenemos una copia de seguridad, podremos restaurar los archivos después de la infestación. Lo ideal es hacer también una copia de seguridad periódica de nuestro ordenador para no tener que limpiarlo y poder volver a un estado anterior.
Utilizar servicios en la nube
Otra buena opción es utilizar servicios en la nube, como Microsoft OneDrive. Los archivos se almacenan fuera de las instalaciones, en los servidores del proveedor correspondiente. De nuevo, los archivos locales se cifrarían y luego se sincronizarían con el servicio en la nube, pero los servicios en la nube almacenan versiones anteriores de los archivos para que sean recuperables. Muchos servicios en la nube también detectan cuándo se activa un troyano de cifrado y bloquean los cambios.
También es posible restaurar el estado antiguo del servicio en la nube.
Como regla general, es aconsejable utilizar copias de seguridad en la nube y locales en paralelo.
Conclusión
En nuestro caso, las cosas no fueron especialmente bien. No había copia de seguridad y los archivos quedaron cifrados por el momento. Al menos para el futuro, ya se ha desarrollado una estrategia de copia de seguridad.
