Por Airel Torres-La Nacion online
Fueron dos pedidos de auxilio con una semana de
diferencia. El primero, de Cynthia, una buena amiga nuestra; el otro, de
la colega de mi amigo Martín Carmona Selva, desde Barcelona. En ambos
casos la situación era la misma: un virus se había metido en la máquina y
había encriptado todos sus documentos. Fotos de viajes, planillas de
cálculo, mails, textos, videos. Típico de esta clase de ataques, los
delincuentes exigían 500 dólares (en bitcoins) para proveerles la clave
de cifrado con la que podrían recuperar sus archivos. De allí su nombre.
"Ransom" en inglés significa rescate.
Había poco por hacer, a
decir verdad. Al revés que la mayoría de los virus actuales, que tratan
de pasar inadvertidos y, por lo tanto, no afectan los archivos, los
ransomware hacen blanco en los documentos y arrasan con ellos. Hay
variantes de este modus operandi, pero se reducen, grosso modo, a dos. O
cifran archivos y piden plata a cambio de darnos la clave para
descifrarlos o bloquean el acceso a Windows sin cifrar nada.
El
escenario más temible es aquel en el que nuestros documentos fueron
cifrados, porque o pagamos o perdemos esa información. Para muchos (un
contador, por ejemplo), no hay demasiadas opciones; es eso, o quedarse
sin sus clientes. Me dice Martín que conoce a 5 personas que pagaron el
rescate.
Pero también es cierto que cuantas más víctimas paguen,
más ransomware llegará a nuestras máquinas. A propósito, muchas personas
pagaron el rescate, pero pudieron descifrar sólo algunos de sus
archivos. Y no, no hay una ventanilla de reclamos, olvidate.
En el caso de Cynthia, echó mano del ShadowExplorer (http://www.shadowexplorer.com),
un programa gratis que sirve para recuperar archivos borrados o acceder
al historial de archivos en los Windows domésticos. Por supuesto, no
puede garantizar que se restauren todos los ficheros, ni mucho menos sus
últimas versiones. Como se verá después, y como dice la gente de
ShadowExplorer, este programa no reemplaza las copias de respaldo.
Eventualmente,
aparecen algunos servicios que permiten descifrar los archivos (sin
cargo), como explica Brian Krebs en este artículo (http://krebsonsecurity.com/2014/08/new-site-recovers-files-locked-by-cryptolocker-ransomware/), pero uno no puede apostar a que esto siempre ocurra.
Así
que hay que concentrarse más bien en dos aspectos. Prevenir los ataques
y estar preparado para revertir el daño, si caemos en la trampa. Una
cosa es segura: los ransomware ya están aquí, en español (algunas
traducciones apestan, eso sí) y van por más. Pensar que no nos va a
pasar es un muy mal negocio.
Modos de ataque
¿Cómo
se propagan los ransomware? Normalmente, como troyanos. Es decir, un
adjunto que llega por mail, con algún pretexto que te obliga a abrir el
archivo. Se llama ingeniería social y enseguida volveré sobre este
asunto.
En el caso de Cynthia, fue un correo electrónico con un
adjunto con la extensión .SCR. Los .SCR son protectores de pantalla de
Windows y resultan ideales para engañar. Como no terminan en .EXE (la
extensión más conocida de los programas ejecutables), creemos que son
seguros. ¿Qué puede haber más inofensivo que un protector de pantalla?
La
mala noticia es que los .SCR pueden contener código ejecutable. Lo
mismo ocurre con los .PIF (Program Information File), que normalmente no
tienen nada ejecutable, pero que serán tratados por Windows como si
fueran .EXE en el caso de contenerlo. Los .CAB (Cabinet, los comprimidos
de Windows) y los .ZIP pueden también ocultar un programa malicioso. La
lista de extensiones que corresponden a archivos ejecutables es
bastante extensa; pueden verla aquí, para varias plataformas (http://www.file-extensions.org/filetype/extension/name/program-executable-files).
Usualmente,
el ataque de los ransomware se da en dos pasos. En el primero, abrimos
el adjunto y se pone en marcha un downloader que descarga de Internet la
versión más reciente (y, por esto, más difícil de detectar por el
antivirus) del malware. Hecho esto, se pondrá en marcha el proceso de
cifrado. Cuando termine (dependiendo del número y tamaño de los
archivos, llevará más o menos tiempo) aparecerá la nefasta advertencia.
A
veces la advertencia es más o menos vistosa, como en el caso del
CTB-Locker que atacó la máquina de Cynthia; en otros, como el CryptoWall
que se infiltró en la PC de la colega de Martín, era un simple archivo
de texto que se mostraba al arrancar y apagar el equipo.
Otra
forma de ataque es por vía de las supuestas actualizaciones que los
sitios nos dicen que tenemos que descargar para poder ver un video o
acceder a una página. Nunca sigas estas instrucciones. En 10 de 10 casos
son virus. Si un sitio pide instalar algo para seguir, cerrá la página
de inmediato. Usar extensiones como WOT (https://www.mywot.com) o Netcraft (http://toolbar.netcraft.com) es muy aconsejable. WOT en particular advierte a tiempo si el sitio al que estás por entrar es poco confiable.
Dos herramientas específicas para ponerles coto a estos bichos. Por un lado, SpywareBlaster (http://www.brightfort.com/spywareblaster.html), que usa killbits para bloquear controles ActiveX dudosos. Por otro, CryptoPrevent (http://www.foolishit.com/vb6-projects/cryptoprevent/),
que evita que los ransomware copien sus archivos en el disco de nuestra
máquina y bloquea las extensiones ejecutables falsas, entre otras
cosas.
Muy bien, sabemos entonces que las buenas prácticas de
seguridad incluyen no darles doble clic a adjuntos, no seguir links que
nos llegan por chat o correo y no instalar algo que un sitio nos exige
para poder acceder a un contenido (sobre todo a un contenido muy
tentador). Entonces, ¿por qué tantas personas caen en la trampa?
Un momentito
El
principal motivo es la todopoderosa ingeniería social, el cuento del
tío virtual. Sin embargo, tiene un punto débil. Para que funcione, la
ingeniería social requiere que la víctima haga clic en un link, doble
clic en un adjunto o instalar un programa. Es decir, ejecutar alguna
acción. Eso nos da uno o dos segundos para pensar si no estamos por caer
en una trampa. Como dije en esta columna (http://www.lanacion.com.ar/1728781),
la clave contra la ingeniería social -en Internet o en el mundo real-
es pensar dos veces, tomarse siempre (siempre) unos segundos antes de
hacer ese clic o ese doble clic.
Si tratamos de memorizar la lista
de las extensiones riesgosas en Windows, nunca vamos a ganar la batalla
contra el pirata. Si tratamos de saber si todos los componentes del
equipo están actualizados, lo mismo. La solución no pasa por ahí, sino
por decir que no ante la más mínima duda. A las 12 y media de la noche
te llega una factura dentro de un ZIP, y sabés que el remitente baja la
persiana a las 6 y no da señales de vida hasta las 9 del otro día. Es
raro. Y si es raro, algo está mal.
La ingeniería social, por
supuesto, también echa mano de otro truco siniestro. Infecta la máquina
de un amigo, de tu esposa, de un proveedor, de tu jefe, y luego envía el
archivo infectado a todos sus contactos, incluyéndote. Vos creés que el
mail viene de tu hermano o tu jefe, y confiás. Mal hecho. No importa de
quién venga, pensá siempre dos veces (o tres) antes de darles clic a
adjuntos y links.
Otra artimaña despreciable, pero sumamente
efectiva, es vestir el mensaje con una advertencia policial, con logos y
todo. O como un mail de, por ejemplo, PayPal. O como una alerta fiscal.
Si la ley o el dinero están involucrados, casi todo el mundo se asusta,
deja de pensar y hace clic, que es lo que el delincuente busca. Hay
pues una regla universal aquí: cuanto más grave es la situación que te
presentan en el mail (te acusan por narcotráfico, te dicen que tu
tarjeta de crédito es falsa o que tu declaración jurada está fraguada),
más probable es que sea un virus.
Preparados
Ahora,
supongamos que cometiste el error de darle doble clic al adjunto
equivocado y entró un ransomware. ¿Qué sería lo único que podría salvar
el día? Exacto: un backup lo más actualizado que se pueda.
Entre
paréntesis, como dije antes, cifrar lleva tiempo. Una cosa que podés
hacer, si te das cuenta de que algo muy malo acaba de pasar, es apagar
la computadora de inmediato y reiniciarla con un disco de rescate. Es
fácil crear un Linux Live en un pendrive (http://www.lanacion.com.ar/1488015)
y usarlo para arrancar la PC y copiar los documentos, y sólo los
documentos, fuera de la computadora. Quizá logres rescatar una parte
sustancial.
Si tenés un backup actualizado, no hay mucho de qué
preocuparse. Si te atacó un ransomware, podés formatear ese disco,
volver a instalar Windows y las aplicaciones y recuperar tus archivos
desde el backup. Ya sé, es un dolor de espalda. Pero mucho peor es tener
que formatear, instalar y encima perdiste todas las fotos de tu boda o
todos los XLS de tus clientes.
Un buen software gratis para hacer backup, aquí: http://www.2brightsparks.com/freeware/freeware-hub.htm. Otra solución es usar la Nube, mediante servicios como Dropbox, Google Drive o One Drive, de Microsoft.
Ahora
bien, es más fácil pregonar el backup que hacerlo. Por eso, la única
copia de respaldo que realmente sirve es la automática. En esta nota (http://www.lanacion.com.ar/1568031) varias estrategias de backup entre las que podés elegir la que mejor se adapte a tus usos, costumbres y hardware