Cómo evitar ser víctimas de ransomware

Share this…

El ransomware es una molestia regular. Una infección ransomware toma de rehén tu computadora, y exige el pago por la liberación. En algunos casos, el pago no asegura tus archivos. Las fotos personales, música, películas, archivos de trabajo, y más, son destruidos. La tasa de infección ransomware sigue aumentando, y su complejidad va en aumento.

Ha habido notables excepciones a esta regla. En algunos casos, los investigadores de seguridad han descifrado el código de ransomware, lo que les permite crear una codiciada herramienta de descifrado. Estos eventos son poco frecuentes, y llegan generalmente cuando se baja un botnet malicioso. Sin embargo, no todos los ransomware son tan complejos como lo que pensamos.

La anatomía de un ataque

A diferencia de algunas variantes de malware comunes, los ransomware intentan permanecer ocultos durante tanto tiempo como sea posible, para ganar tiempo para cifrar tus archivos personales. El ransomware está diseñado para mantener la máxima cantidad de recursos del sistema disponibles para el usuario, como para no dar la alarma. En consecuencia, para muchos usuarios, el primer indicio de una infección ransomware es un mensaje cifrado posterior, que explica lo que ha sucedido.

En comparación con otros tipos de malware, el proceso de infección del ransomware es bastante predecible. El usuario descarga un archivo infectado, que contiene la carga del ransomware. Cuando se ejecuta el archivo infectado, parecerá que no pasa nada de inmediato (dependiendo del tipo de infección). El usuario no es consciente de que el ransomware comienza a cifrar sus archivos personales.

La entropía del archivo

La entropía del archivo se puede utilizar para identificar los archivos cifrados con ransomware. Rob Vandenbrink describe brevemente la entropía archivo y ransomware para el Internet Storm Centre:

En la industria IT, la entropía de un archivo se refiere a una medida específica de la aleatoriedad llamada “Entropía de Shannon”, llamado así por Claude Shannon. Este valor es esencialmente una medida de la previsibilidad de cualquier carácter específico en el archivo, basado en caracteres precedentes. En otras palabras, es una medida de la “aleatoriedad” de los datos en un archivo, medido en una escala de 1 a 8, donde los archivos de texto típicos tendrán un valor bajo, y los archivos cifrados o comprimidos tendrán una medida alta.

¿Es diferente del malware “normal”?

Ransomware y malware comparten un objetivo común: permanecen ocultos. El usuario mantiene la chance de luchar contra la infección si se detecta después de poco tiempo. La palabra mágica es “cifrado”. El ransomware logra su mala reputación por su uso de la encriptación, ya que el cifrado se ha utilizado en programas maliciosos por un largo tiempo.

El cifrado ayuda al software malicioso a pasar por debajo del radar de los programas antivirus al confundir la detección de firmas. En lugar de ver una cadena de caracteres reconocibles que alertar a una barrera de defensa, la infección pasa desapercibida. Aunque los antivirus suites son cada vez más adeptos a darse cuenta de estas cadenas (comúnmente conocidas como hashes), es trivial para muchos desarrolladores de malware.

Los métodos comunes de ocultamiento

Aquí están algunos métodos más comunes de ocultamiento:

  • Detección – Muchas variantes de malware pueden detectarse si se están utilizando en un entorno virtualizado. Esto permite que el malware evada la atención de los investigadores de seguridad simplemente negándose a ejecutar o desempaquetar. A su vez, esto detiene la creación de una firma de seguridad actualizada.
  • Momento – Las mejores suites de antivirus están en constante alerta ante la comprobación de una nueva amenaza. Desafortunadamente, los programas antivirus generales no pueden proteger todos los aspectos de su sistema en todo momento. Por ejemplo, algunos programas maliciosos sólo se desplegarán después de un reinicio del sistema, escapando (y probablemente desactivándolas en el proceso) a las operaciones antivirus.
  • Comunicación – El malware llamará al hogar de comando y control (C&C) del servidor para obtener instrucciones. Esto no es cierto en todo el malware. Sin embargo, cuando lo hacen, un programa antivirus puede detectar
  • direcciones IP específicas conocidas para albergar servidores C & C, y tratar de evitar la comunicación. En este caso, los desarrolladores de malware simplemente rotan la dirección del servidor de C & C, para evadir la detección.
  • Falsa Operación – Un falso programa inteligentemente elaborado es quizás una de las notificaciones más comunes de una infección de malware. Los usuarios involuntarios asumen que esta es una parte regular de su sistema operativo (normalmente Windows), y alegremente siguen las instrucciones de la pantalla. Estos son particularmente peligrosos para los usuarios de PC no cualificados y, mientras actúa como un front-end amigable, puede permitir que una gran cantidad de entidades maliciosas accedan a un sistema.

Esta lista no es exhaustiva. Sin embargo, sí cubre algunos de los métodos más comunes de malware utilizados para permanecer ocultos en tu PC.

 

Pensá antes de pagar

Una infección ransomware puede ser devastadora. Esto es indudable. Sin embargo, ser golpeado con ransomware no significa que automáticamente tus datos se han ido para siempre. Los desarrolladores ransomware no son todos magníficos programadores. Si hay una ruta fácil para la ganancia financiera inmediata, se tendrá. Esto, en el conocimiento seguro de que algunos usuarios pagarán debido a la amenaza inmediata y directa. Es totalmente comprensible.

Los mejores métodos de mitigación ransomware siguen siendo: la copia de seguridad regular de tus archivos a una unidad sin conexión a red, mantener tu antivirus suite y navegadores de Internet actualizados, tener cuidado con los correos electrónicos de phishing, y ser cuidadoso con la descarga de archivos de Internet.

Fuente:https://www.periodismo.com/