El CryptoLocker es un ransomware, software malintencionado que restringe el acceso a algunas partes o archivos del sistema, y pide un rescate para quitar esta restricción. Este rescate suele ser Bitcoins. En este caso, el software encripta tus datos y archivos usando criptografía de clave pública RSA. El propio CryptoLocker te informa de cómo recuperar tus datos y archivos pagando una cantidad de Bitcoins con una fecha límite. En caso de no efectuarse el pago en dicha fecha, se procederá a eliminar permanentemente la clave del encriptado. Sin embargo, si se ha llegado a la fecha límite sin haber efectuado el pago y aún se quieren recuperar los archivos afectados, se ofrece la posibilidad de generar la clave con un pago mucho más elevado de Bitcoins.
Este ransomware se propaga principalmente como un archivo adjunto desde un correo electrónico aparentemente inofensivo, normalmente suele ser un correo informándote sobre él envió de un paquete. Este archivo adjunto suele ser un ZIP con un ejecutable camuflado en forma de PDF, aprovechando la ocultación de extensiones de Windows. Al ejecutar el archivo, el sistema empieza a encriptar tus archivos locales en tu sistema y los archivos en las unidades de red en las que tengas permiso de escritura. Este software deja un documento notificando que tus archivos están siendo encriptados con una RSA2048 y la información necesaria para pagar la recompensa y poder desencriptar tus archivos.
Existen muchas versiones de este software malicioso que des de finales del 2013 se han ido modificando y mejorando, por este motivo los antivirus no suelen detectar a Cryptolocker. Dependiendo de la versión que nos afecte, afectará a un tipo de ficheros o a otros pero normalmente la mayoría afecta a ficheros de uso cuotidiano. Los ficheros con extensiones .PDF, .JPG y .DOC suelen ser el objetivo principal, aunque hay versiones que también afectan a otro tipo de extensiones como .ZIP, .7Z, .PPT, .XLS, etc. También destacar que dependiendo la versión, los archivos pueden dejar de ser reconocibles variando su nombre y extensión.
En el momento en que este software nos afecta, lo primero que tenemos que hacer es mirar el propietario del archivo cifrado. Con esta información podemos proceder a matar la sesión de ese usuario o desconectar el cable de red y apagar el ordenador de este usuario. Con suerte, podremos matar el proceso de CryptoLocker antes de que haya una cantidad importante de ficheros afectados.
El hecho de que haya tantas versiones y tan distintas de CryptoLocker complica mucho la tarea de detectar qué archivos han sido afectados. En las versiones más simples, se puede apreciar que sólo se ha cambiado la extensión del archivo afectado pero en otras versiones, nos ha podido cambiar todo el nombre del archivo y dejar irreconocible de qué archivo se trataba inicialmente. Para detectar si ha sido afectado o no, se usa la cabecera de los archivos . Las cabeceras contienen información útil para el Sistema Operativo ya que la cabecera guarda una estructura en la que podemos identificar qué programa y qué usuario ha generado y/o modificado este archivo. Con esta información se consigue un identificador único que se repite en todos los archivos afectados por Cryptolocker y facilita la detección de los archivos afectados aunque éstos no sean la totalidad del directorio.
La única solución que tenemos para poder recuperar nuestros archivos, o al menos una gran parte de ellos, es usar las copias de seguridad. Hay que tener en cuenta que si nos afecta un CryptoLocker, perderemos algunos archivos ya sea por la creación de éstos en el día de afectación o por su modificación. Con la última copia de seguridad que tengamos, se iran recuperando los archivos afectados.
RAONA vs. CRYPTOLOCKER
A raíz de la experiencia de varias infestaciones de este malware, hemos automatizado con Powershell los procesos de búsqueda de archivos afectados o corruptos y la recuperación de estos desde una copia de seguridad. Se han programado scripts Powershell para automatizar estos procesos y acortar el periodo de recuperación después de un ataque.
Después de estas recuperaciones y conseguir salvar de media un 97% de ficheros afectados por CryptoLocker, aconsejamos:
- Tener copia de seguridad diaria de los datos importantes o críticos de su empresa, usando mirroring de los datos o haciendo copias diarias totales.
- Informar a sus usuarios periódicamente de este tipo de malware advirtiendo que entran por el correo electrónico con un fichero adjunto.
- Desactivar la política de Windows que oculta las extensiones conocidas.
Por último, si no podemos recuperar nuestros ficheros por falta de copia de seguridad, no aconsejamos para nada pagar el rescate que nos pidan. Con este pago lo único que se consigue es convertir este tipo de malware un negocio rentable, cosa que impulsará el crecimiento y la expansión de estos ataques.