Un grupo de
piratas informáticos ha estado distribuyendo una nueva variante del ransomware
LockCrypt aprovechándose de configuraciones débiles en los servicios de escritorio
remoto de los sistemas. Para poder llevar a cabo el ataque, buscaban equipos
con este Escritorio Remoto habilitado, se conectaban a él, y utilizaban
herramientas para sacar, por fuerza bruta, la contraseña de acceso.
Una vez dentro del
sistema, los piratas informáticos ejecutaban este ransomware, el cual empezaba
directamente a cifrar los datos que había en el disco duro para,
posteriormente, pedir el pago de un rescate a cambio de la supuesta clave para
descifrar los datos.
Este ransomware está
siendo distribuido desde diciembre de 2017, aunque no ha sido hasta ahora
cuando se ha detectado. Cuando cifra los datos de los usuarios, este aplica una
codificación base64 a los nombres de los archivos, para complicar su
identificación, y les añade la extensión .1btc.
Además, también crea
una nota de rescate en la que se pide contactar cuanto antes con los piratas
informáticos para poder pactar el precio de la recuperación de los datos
(precio que no viene en la nota de rescate, pero que, por la extensión, podría
ser de 0.1 BTC o de 1 BTC), o aplicar una “oferta” para descifrar varios
equipos a la vez.
Por desgracia, estos
datos no se pueden recuperar de forma gratuita, y pagando tampoco hay muchas
garantías de que nos llegue realmente la clave privada para recuperarlos.
Cómo protegernos del ransomware LockCrypt
Igual que en la
mayoría de los casos, unos correctos hábitos de seguridad serán capaces de
protegernos correctamente de esta amenaza:
- Hacer copias de
seguridad, la única forma de estar 100% seguros frente al ransomware.
- No abrir
archivos que recibamos por correo hasta estar 100% seguros de su
fiabilidad.
- Analizar los
archivos que recibimos o descargamos en VirusTotal.
- Instalar todas
las actualizaciones de Windows y demás aplicaciones del sistema, especialmente
Java, Flash y los navegadores web.
- Usar contraseñas
robustas y seguras para evitar que se puedan adivinar por fuerza bruta.
Además, como hemos
explicado que este ransomware llega a través de los servicios de escritorio
remoto, lo ideal es que, si no solemos conectarnos a nuestro PC de forma
remota, estemos seguros de que estos servicios están deshabilitados, evitando
que se puedan conectar a través de ellos.
Como podemos ver,
aunque el ransomware ya no es tan común como en 2016 y principios de 2017, aún
sigue siendo una grave amenaza, amenaza que fácilmente nos pone en peligro y
que, además, es mucho más peligrosa que hace dos años, al ser casi indetectable
para las soluciones de seguridad y utilizar algoritmos seguros que impiden la
recuperación de los datos por fuerza bruta.
Fuente: bleepingcomputer