16/01/2017
¿Qué es un virus “ransomware”?
Es un código malicioso que al ejecutarse ataca algunos archivos de usuario encriptándolos y dejándolos inutilizables. Dicho código generalmente llega a través de archivos adjuntos a mensajes de correo electrónico no deseado (spam). Los mensajes suelen indicar que son una orden de compra o el comprobante de una transferencia bancaria, el número de seguimiento de un paquete, etc. La idea es que enviando masivamente ese tipo de mensajes, alguna persona que está esperando una orden de compra, etc. sentirá curiosidad por ver el adjunto y así recibirá el ataque. Se llaman ransomware porque constituyen una extorsión o pedido de rescate al creador de ese código que en teoría contra recepción de un pago devolverá el software y las llaves necesarias para desencriptar los archivos. Como en cualquier situación de secuestro, las víctimas lidian con delincuentes con comportamientos impredecibles. No se trata de una simple transacción comercial. El fenómeno del ransomware está muy atomizado, por lo que no se puede afirmar que cierto código produce determinado daño y que con el pago del rescate la víctima efectivamente resuelve su problema.
Además, claro, está la dimensión ética: si cada víctima pagase el rescate, le estaría dando a los delincuentes enormes recursos económicos para inversiones en infraestructura y desarrollo que les permitan aumentar y perfeccionar sus delitos.
Los pagos de rescates se realizan por medios electrónicos, empleando criptomonedas como el Bitcoin en la expectativa de mantener el anonimato. Sin embargo se ha conseguido atrapar a varias bandas dedicadas a estos delitos.
¿Es posible recuperar datos de un disco atacado por un virus de tipo ransomware?
La gente suele creer que los archivos atacados se convirtieron instantáneamente en datos inaccesibles. En realidad estos códigos maliciosos primero generan una copia de ciertos archivos aplicándoles una encriptación fuerte, que en general no es susceptible de ser quebrada por ataques de fuerza bruta –aunque siempre hay que verificar. En una segunda instancia borran los archivos originales en modo seguro, es decir, tratando de que no sean más recuperables. Ese proceso tiene tiempos de ejecución, consume recursos de RAM y procesador. A veces el usuario al darse cuenta del ataque puede interrumpir el proceso, por ejemplo apagando la computadora y limitando el daño.
Cada código malicioso de esas características tiene sus variantes y además hay que ver cómo actuó sobre una partición en particular, durante cuánto tiempo, etc. De allí que a veces sea factible conseguir recuperaciones de archivos, al menos parciales. Hay que tomarse el trabajo de analizar cada caso en particular si es que los datos revisten importancia. Por lo comentado más arriba, para que el virus actúe es preciso tener capacidad de procesamiento disponible, espacio en RAM y espacio en disco. Por ejemplo si la partición atacada estaba muy llena es posible que el virus pueda hacer menos daño o que la ejecución lleve más tiempo o que se cuelgue el equipo. En todos esos casos el perjuicio sería menos generalizado.
¿Tienen la solución para el Cryptowall 2.15?
Esta pregunta es análoga a consultar si existe un antídoto para contrarrestar los efectos tóxicos que produce una pastillita lila con una letra S que venden en una fiesta electrónica. La gente tiende a creer que los códigos maliciosos son creados por empresas de software establecidas que cumplen normas de calidad. En realidad cada código tiene sus particularidades. En internet incluso existen “kits” para la creación de códigos ransomware de modo que cada uno pueda iniciar su emprendimiento delictivo. En síntesis: 1) cada código tiene sus particularidades. 2) hay que ver qué daño provocó un código particular en una partición particular.
En teoría si todo salió como planificó el creador del virus, los datos no tendrían que ser más recuperables a menos que paguemos el rescate. Sin embargo la experiencia nos muestra que a menudo por defectos del código o bien por deficiencias en la ejecución en un equipo en particular, quedan archivos que pueden rescatarse. En general las soluciones que se pueden ofrecer son parciales.
Por ejemplo hace pocos días recibimos una consulta de una empresa financiera de Mar del Plata. Lo más crítico eran nueve archivos de tipo DBF. Cuatro estaban efectivamente encriptados con una codificación no susceptible de ser revertida en tanto que cinco tenían una corrupción al principio pero tenían más del 90% de los datos en bruto perfectamente recuperables.
Además en los discos suelen residir varias versiones de los archivos más usados así como copias temporarias. Esos archivos borrados y/o ocultos en general son omitidos por los virus y si son rescatados, colaboran a solucionar el problema.
Quien diseña un virus de estas características tiene que definir cuáles serán los archivos objetivo. No se atacan los archivos del sistema operativo ni programas porque la idea es que el usuario pueda seguir arrancando su sistema y constatar por sus propios medios que los archivos de trabajo no funcionan. En general establecen criterios por tipos de archivos (extensiones) y/o por fechas de modificación. Además hay varios factores que pueden impedir o limitar la ejecución “exitosa” del virus. Eso explica que muchos usuarios detallan que algunos archivos fueron encriptados y otros no.
¿Qué es un virus “ransomware”?
Es un código malicioso que al ejecutarse ataca algunos archivos de usuario encriptándolos y dejándolos inutilizables. Dicho código generalmente llega a través de archivos adjuntos a mensajes de correo electrónico no deseado (spam). Los mensajes suelen indicar que son una orden de compra o el comprobante de una transferencia bancaria, el número de seguimiento de un paquete, etc. La idea es que enviando masivamente ese tipo de mensajes, alguna persona que está esperando una orden de compra, etc. sentirá curiosidad por ver el adjunto y así recibirá el ataque. Se llaman ransomware porque constituyen una extorsión o pedido de rescate al creador de ese código que en teoría contra recepción de un pago devolverá el software y las llaves necesarias para desencriptar los archivos. Como en cualquier situación de secuestro, las víctimas lidian con delincuentes con comportamientos impredecibles. No se trata de una simple transacción comercial. El fenómeno del ransomware está muy atomizado, por lo que no se puede afirmar que cierto código produce determinado daño y que con el pago del rescate la víctima efectivamente resuelve su problema.
Además, claro, está la dimensión ética: si cada víctima pagase el rescate, le estaría dando a los delincuentes enormes recursos económicos para inversiones en infraestructura y desarrollo que les permitan aumentar y perfeccionar sus delitos.
Los pagos de rescates se realizan por medios electrónicos, empleando criptomonedas como el Bitcoin en la expectativa de mantener el anonimato. Sin embargo se ha conseguido atrapar a varias bandas dedicadas a estos delitos.
¿Es posible recuperar datos de un disco atacado por un virus de tipo ransomware?
La gente suele creer que los archivos atacados se convirtieron instantáneamente en datos inaccesibles. En realidad estos códigos maliciosos primero generan una copia de ciertos archivos aplicándoles una encriptación fuerte, que en general no es susceptible de ser quebrada por ataques de fuerza bruta –aunque siempre hay que verificar. En una segunda instancia borran los archivos originales en modo seguro, es decir, tratando de que no sean más recuperables. Ese proceso tiene tiempos de ejecución, consume recursos de RAM y procesador. A veces el usuario al darse cuenta del ataque puede interrumpir el proceso, por ejemplo apagando la computadora y limitando el daño.
Cada código malicioso de esas características tiene sus variantes y además hay que ver cómo actuó sobre una partición en particular, durante cuánto tiempo, etc. De allí que a veces sea factible conseguir recuperaciones de archivos, al menos parciales. Hay que tomarse el trabajo de analizar cada caso en particular si es que los datos revisten importancia. Por lo comentado más arriba, para que el virus actúe es preciso tener capacidad de procesamiento disponible, espacio en RAM y espacio en disco. Por ejemplo si la partición atacada estaba muy llena es posible que el virus pueda hacer menos daño o que la ejecución lleve más tiempo o que se cuelgue el equipo. En todos esos casos el perjuicio sería menos generalizado.
¿Tienen la solución para el Cryptowall 2.15?
Esta pregunta es análoga a consultar si existe un antídoto para contrarrestar los efectos tóxicos que produce una pastillita lila con una letra S que venden en una fiesta electrónica. La gente tiende a creer que los códigos maliciosos son creados por empresas de software establecidas que cumplen normas de calidad. En realidad cada código tiene sus particularidades. En internet incluso existen “kits” para la creación de códigos ransomware de modo que cada uno pueda iniciar su emprendimiento delictivo. En síntesis: 1) cada código tiene sus particularidades. 2) hay que ver qué daño provocó un código particular en una partición particular.
En teoría si todo salió como planificó el creador del virus, los datos no tendrían que ser más recuperables a menos que paguemos el rescate. Sin embargo la experiencia nos muestra que a menudo por defectos del código o bien por deficiencias en la ejecución en un equipo en particular, quedan archivos que pueden rescatarse. En general las soluciones que se pueden ofrecer son parciales.
Por ejemplo hace pocos días recibimos una consulta de una empresa financiera de Mar del Plata. Lo más crítico eran nueve archivos de tipo DBF. Cuatro estaban efectivamente encriptados con una codificación no susceptible de ser revertida en tanto que cinco tenían una corrupción al principio pero tenían más del 90% de los datos en bruto perfectamente recuperables.
Además en los discos suelen residir varias versiones de los archivos más usados así como copias temporarias. Esos archivos borrados y/o ocultos en general son omitidos por los virus y si son rescatados, colaboran a solucionar el problema.
Quien diseña un virus de estas características tiene que definir cuáles serán los archivos objetivo. No se atacan los archivos del sistema operativo ni programas porque la idea es que el usuario pueda seguir arrancando su sistema y constatar por sus propios medios que los archivos de trabajo no funcionan. En general establecen criterios por tipos de archivos (extensiones) y/o por fechas de modificación. Además hay varios factores que pueden impedir o limitar la ejecución “exitosa” del virus. Eso explica que muchos usuarios detallan que algunos archivos fueron encriptados y otros no.
