En Distrito K recibimos habitualmente llamadas de incidencias relacionadas con el virus Cryptolocker en nuestros clientes. La mejor manera de protegerse ante esta amenaza es informarse sobre cómo funciona y qué se debe hacer para evitarlo.
En qué consiste
Todo comienza con un email que se genera automáticamente y se envía a diferentes remitentes con diferente contenido. Su intención es captar nuestra atención sin resultar sospechoso. Suele disfrazarse como una aparente notificación urgente para una gestión bancaria, un email de confirmación de correos o una web de uso común. Debido a que el email no contiene información que pueda bloquear un filtro de spam llegará a nuestra bandeja de correo sin problema. El peligro está en el enlace que contiene y que, una vez lo clicamos, introduce el virus en nuestro equipo.
Recomendación: nunca haga clic en enlaces desconocidos.
Cómo funciona
Existen numerosas variantes de este tipo de virus pero todas tienen en común el conseguir cifrar todos los archivos de su ordenador o de la red de ordenadores de su empresa. Utiliza una api de Windows para generar una clave (api CryptGenKey). Una vez obtiene dicha clave el virus recorrerá el disco duro en busca de ficheros que poder cifrar. Enseguida modificará las siguientes extensiones:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, .xlsx
Cada fichero se renombra bajo una extensión desconocida que varia según la variante de este virus (.cryptolocker, .nobackup, .done, .ultracode, .encrypt, .encrypted).
Tras terminar su trabajo el virus cifra la clave y sirve un archivo denominado “how to decrypt files.txt” o “como recuperar.html” donde se exige el pago de un rescate para la recuperación de los archivos encriptados.
Recomendación: no efectuar pago alguno ya que nunca se recuperarán los archivos.
Cómo protegerse
La naturaleza y el número de versiones de este virus es tal que es muy complicado solucionar el problema una vez se produce. Para evitar que el virus se propague es vital actuar rápido y desconectar el equipo o equipos infectados de la red y recuperar sus archivos mediante una copia de seguridad anterior al proceso de infección.
Recomendación: disponer de un sistema de copias de seguridad que garantice la realización de copias diarias. Lo ideal es realizar copias y guardarlas fuera de la red interna de la empresa (en el servidor, en discos externos o en la nube).