Así las cosas, las víctimas nunca han podido recuperar sus archivos, debido a que no fueron secuestrados sino borrados del ordenador. Matt Suiche, de la firma de seguridad Comae Technologies explica que la pantalla de la víctima se bloquea y aparece una alerta en letras rojas que pide realizar un pago de 300 dólares en Bitcoins a los atacantes a través de un correo electrónico específico.
Horas más tarde el correo desaparece eliminando cualquier canal de comunicación para confirmar el pago o recibir un código para recuperar la información. La pregunta es, ¿por qué hacerse pasar por un Ransomware para secuestrar archivos y no reclamar el dinero?.
Una de las tantas hipótesis es que nunca se trató de un secuestro para recibir dinero, sino de un ataque para dañar archivos. Lo más grave es que las empresas afectadas, han sido Bancos, Aerolíneas y Agencias estatales, según Suiche. El contagio suele producirse a través de correos electrónicos al parecer inofensivos y de información general para su víctima, un ejemplo son los correos que contienen perfiles laborales de los candidatos que piden descargar el archivo a fin de perjudicar empresas de Talento Humano.
¿Cómo funciona?
Tan pronto el virus entra al ordenador aparece una alerta de Windows, claramente muchos de nosotros cuando vemos esto, lo primero que hacemos es otorgarle los permisos (es de Windows, no nos imaginamos nada malo), pero tan pronto le autorizamos, la pantalla se pone azul.
Expertos en el tema aseguran que en ese momento aún se pueden recuperar archivos, recomiendan apagar el ordenador y conectar el disco duro a otro equipo. Por el contrario si lo reiniciamos el sistema ejecuta un programa que imita el comando para la comprobación del disco, pero en realidad, lo está encriptando.
Luego aparece una ventana de alerta con letras rojas que informa al usuario que el equipo ha sido secuestrado y piden dinero para su rescate. Aunque algunas personas alcanzan a pagar los 300 dólares en Bitcoins y otras no, en cualquiera de los dos casos los archivos no se recuperan.
¿Cómo protegerse?
El Centro Criptológico Nacional (CCN-CERT) de España, adscrito al Centro Nacional de Inteligencia (CNI), recomienda a quienes sean víctimas de este ataque cibernético, no pagar el rescate del equipo, pues no es garantía de recuperación, pero en cambio “solo premia su campaña y les motiva para seguir distribuyendo masivamente este tipo de ataque”. También extiende algunas recomendaciones:
- Actualizar el sistema operativo y tener el cortafuegos personal habilitado.
- Los accesos administrativos por fuera de la empresa, deben llevarse a cabo mediante protocolos de seguridad.
- Contar con herramientas y extensiones de navegador web completamente actualizadas.
- Activar la visualización de las extensiones de los ficheros para evitar ejecutar cualquier código dañino camuflado.
- Deshabilitar las macros en los documentos de Microsoft Office y aplicaciones similares.
¿Qué otras recomendaciones conocen para evitar ser víctimas de ataques informáticos como este?