El ramsomware ha sido una de las mayores amenazas en últimos tiempos, al grado que en 2017 fue una de las mayores alertas entre expertos en ciberseguridad en México.
Advierten contra nuevo ramsomware GandCrab; explican que predomina en LATAM
En días recientes circula una advertencia sobre una familia de ramsomware llamada GandCrab, la cual surgió a inicios de 2018, posicionándose en los 5 primeros lugares de las amenazas de este tipo.
ESET, compañía especializada en detección proactiva de amenazas, advirtió sobre este ransomware que por sus características se presenta como uno de los más problemáticos para los usuarios.
Además, a nivel global 5 de los 10 países con mayor cantidad de detecciones son de Latinoamérica: México (38%), Perú (45.2%), Ecuador (17.2%), Colombia (9.9%) y Brasil (8.7%).
Cómo funciona GandCrab
En ESET analizaron GandCrab y descubrieron que esta amenaza, como parte de su modus operandi, intenta cifrar archivos con distintas extensiones, entre otros, los de Microsoft Office, OpenOffice, PDFs, archivos de texto, bases de datos, fotos, música, video y archivos de imágenes.
Esto lo hacen a través de un archivo que llega al equipo de la víctima. Si ésta lo ejecuta, la amenaza recopila información del dispositivo, por ejemplo, nombre del equipo, dirección IP, nombre del usuario y otros datos.
La amenaza, antes de comenzar a cifrar la información, finaliza todos los procesos que pudieran estar usando los archivos que va a encriptar. Así, se asegura de que podrá cifrar la mayor cantidad de archivos posibles.
Tras hacer esto, comienza el proceso y, entre otras cosas, borra las copias de seguridad del sistema operativo y, al finalizar, muestra el mensaje de extorsión al dueño o dueña del equipo infectado.
Después de todo este proceso, la víctima se encuentra con que toda su información está cifrada y es prácticamente imposible de recuperar, menos que tenga una copia de seguridad externa o sea víctima de una de las primeras versiones de este ramsomware.
[Tweet “Conoce todo sobre el más reciente #ramsomware que amenaza en #LATAM: GandCrab”]
En caso de estar entre las primeras personas atacadas por esta familia de ramsomware, existen posibilidades de recuperar su información, pues actualmente se desarrollaron algunas herramientas para solucionar este problema.
Sin embargo, no existe garantía de la solución funcione, pues no hay forma de saber que la versión de ramsomware no es de las más actuales y entonces sea posible resolver esta situación.
La única otra forma de recuperar la información es hacer el pago exigido por los ciberdelincuentes, aunque tampoco hay garantía de que estos cumplan su palabra sin exigir un pago mayor o aunque reciban todos los rescates solicitados.
Cómo se infectan los usuarios con GandCrab
Entre las variantes analizadas por ESET en los primeros meses de 2018, más de una cuarta parte consiguió infectar a las víctimas con estrategias de ingeniería social, por ejemplo, aduciendo que el archivo malicioso era una actualización de fuentes tipográficas para el sistema operativo.
Igualmente, se detectaron en la primera parte de 2018 al menos 120 formatos de archivos maliciosos que buscaron afectar a los usuarios en al menos 10 países en LATAM, entre los que destacan Argentina, Brasil, Ecuador, Colombia, Chile y México.
La cantidad de archivos maliciosos del tipo aumentó considerablemente a partir de mayo, con lo cual se ha llegado a detectar hasta 2 mil archivos distintos que propagan las últimas variantes de la familia GandCrab.
Igualmente, se relaciona la propagación de este ramsomware con la práctica de bajar archivos que modifican sofware que requiere un pago para ser usado, de modo de obtenerlo gratuitamente.
Estos archivos se conocen como cracks y muchas veces incluyen troyanos, o archivos que insertan el archivo malicioso.
Así, aquellos que buscaron usar gratis programas como Adobe Acrobat, aplicaciones como las de Microsoft Office o Adobe Flash, así como editores de audio, juegos como Minecraft, CounterStrike, Starcraft y Bejeweled 3, o soluciones de seguridad, se encontraron infectados con este tipo de ramsomware.
Imagen: DepositPhotos / Andreus
Mantente informado de las noticias más relevantes en nuestro canal de Telegram