CryptoLocker para niños
Datos para niños CryptoLocker |
|||
|---|---|---|---|
| Información general | |||
| Tipo de programa | ransomware | ||
| Nombre técnico |
|
||
| Desarrollador | Evgeniy Bogachev | ||
| Lanzamiento inicial | 5 de septiembre de 2013 | ||
CryptoLocker fue un tipo de programa informático dañino conocido como ransomware. Este programa afectaba a computadoras que usaban el sistema operativo Microsoft Windows. Se hizo conocido a finales del año 2013.
CryptoLocker se extendía de varias maneras. Una forma común era a través de archivos adjuntos en correo electrónicos. Otra era al acceder a computadoras por un puerto remoto específico. Una vez que el programa se activaba, cifraba (es decir, bloqueaba con un código secreto) ciertos tipos de archivos. Estos archivos podían estar en el disco duro de la computadora o en otras unidades de red. Para cifrarlos, usaba un método de seguridad llamado criptografía de clave pública RSA. La clave secreta para descifrar los archivos se guardaba en los servidores de los creadores del programa.
Después de cifrar los archivos, CryptoLocker mostraba un mensaje en la pantalla. Este mensaje ofrecía descifrar los archivos si se hacía un pago antes de una fecha límite. Los pagos se pedían en bitcoins (una moneda digital) o con vales prepago. El mensaje también decía que si no se pagaba a tiempo, la clave secreta se destruiría. Si esto ocurría, los archivos quedarían bloqueados para siempre. Incluso si la fecha límite pasaba, el programa ofrecía un servicio en línea para descifrar los datos. Sin embargo, el precio en bitcoins era mucho más alto. Aunque el programa en sí podía eliminarse fácilmente, los archivos permanecían cifrados. La clave secreta para descifrarlos era casi imposible de adivinar.
El creador de CryptoLocker fue Evgeniy Bogachev, un hombre de Rusia. La agencia de investigación FBI de Estados Unidos ofreció una recompensa por información sobre su paradero.
Contenido
¿Cómo funcionaba CryptoLocker?
El programa CryptoLocker se extendía principalmente de dos maneras. Una era a través de un archivo adjunto en un correo electrónico. Este correo parecía venir de una empresa real y confiable. La otra forma era si una computadora ya estaba infectada con otro programa dañino, como un troyano, y formaba parte de una red de computadoras controladas a distancia (conocida como botnet).
Propagación del programa
El archivo adjunto en el correo electrónico solía ser un archivo ZIP. Dentro de este ZIP, había un archivo ejecutable. Este archivo estaba diseñado para parecer un documento PDF, incluso con su ícono. Esto se lograba porque Windows a veces oculta la extensión real de los archivos, como ".EXE". En algunos casos, este archivo podía contener otro programa dañino llamado Zeus. Zeus, a su vez, instalaba CryptoLocker en la computadora.
Proceso de cifrado de archivos
Cuando CryptoLocker se ejecutaba por primera vez, una parte de él se instalaba en la carpeta de Documentos. Se le daba un nombre al azar. Luego, el programa añadía una entrada en el registro de la computadora. Esto hacía que se iniciara automáticamente cada vez que la computadora se encendía. Después, intentaba conectarse a uno de sus servidores de control. Una vez conectado, creaba un par de claves secretas muy largas (RSA de 2048 bits). La clave pública (la que se usa para cifrar) se enviaba a la computadora infectada. Rastrear estos servidores era difícil porque podían usar intermediarios en diferentes países.
Una vez instalado, el programa comenzaba a cifrar los archivos en los discos locales y en las unidades de red. Usaba la clave pública para esto. También registraba cada archivo cifrado en el registro de Windows. Solo cifraba archivos con ciertas extensiones. Esto incluía documentos de Microsoft Office, OpenDocument, archivos de AutoCAD, imágenes y otros documentos importantes.
El mensaje de rescate
Cuando terminaba de cifrar los archivos, CryptoLocker mostraba un mensaje en la pantalla. Este mensaje informaba que los archivos habían sido cifrados. Exigía un pago de dinero, generalmente 300 dólares americanos o euros. El pago se pedía a través de vales prepago anónimos o 0.5 bitcoins. El pago debía hacerse en un plazo de 72 o 100 horas. Si no se pagaba, la clave secreta en el servidor se destruiría. El mensaje advertía que "nunca nadie será capaz de recuperar los archivos". Si se realizaba el pago, el usuario podía descargar un programa para descifrar. Este programa ya tenía la clave secreta del usuario.
Una empresa de seguridad, Symantec, estimó que solo el 3% de sus usuarios infectados con CryptoLocker pagaron. Algunos usuarios que pagaron dijeron que sus archivos no fueron descifrados.
Servicio de recuperación tardía
En noviembre de 2013, los creadores de CryptoLocker lanzaron un servicio en línea. Este servicio permitía a los usuarios descifrar sus archivos sin usar el programa original. También permitía comprar la clave secreta de descifrado incluso después de que la fecha límite hubiera pasado. Para usarlo, se debía subir un archivo cifrado como muestra. El servicio buscaba una coincidencia en sus registros, lo que podía tardar hasta 24 horas. Si encontraba una coincidencia, el sitio ofrecía la opción de pagar. Si la fecha límite ya había expirado, el costo aumentaba mucho, llegando a 10 bitcoins (que en ese momento valían alrededor de 90,000 dólares estadounidenses).
¿Cómo protegerse de CryptoLocker?
Los programas antivirus están diseñados para encontrar amenazas como CryptoLocker. Sin embargo, a veces no lo detectan a tiempo. Puede que lo hagan cuando ya está cifrando archivos, o incluso después de que haya terminado. Esto suele pasar cuando aparece una versión nueva del programa dañino (lo que se llama un ataque de día cero). Como el proceso de cifrado lleva tiempo, si el programa se elimina pronto, el daño sería menor.
Algunos expertos sugieren tomar medidas preventivas. Por ejemplo, usar aplicaciones que impidan que programas desconocidos ejecuten código en la computadora.
CryptoLocker también intentaba borrar las copias de seguridad de Windows antes de cifrar los archivos. Debido a lo larga que era la clave secreta que usaba el programa, se consideraba casi imposible de adivinar sin pagar. Esto se conoce como un ataque de fuerza bruta, que es intentar todas las combinaciones posibles. Un programa dañino similar, el gusano Gpcode.AK, usaba una clave de 1024 bits. En ese momento, se creía que era imposible de romper sin usar muchas computadoras trabajando juntas.
Actualmente, el CERTSI (un centro de seguridad) ofrece un servicio gratuito de recuperación: www.certsi.es. A finales de octubre de 2013, la empresa de seguridad informática Kaspersky Lab anunció que había creado un "DNS sinkhole". Esto es una forma de bloquear los dominios de internet que CryptoLocker usaba para comunicarse.
Véase también
En inglés: CryptoLocker Facts for Kids
