Per Ariel Torres|LA NACION - Van ser dues trucades d'auxili amb una setmana de diferència. El primer, de Cynthia, una bona amiga nostra; l'altre, de la col·lega del meu amic Martí Carmona Selva, des de Barcelona. En ambdós casos la situació era la mateixa: un virus s'havia ficat a la màquina i havia encriptat tots els seus documents. Fotos de viatges, fulls de càlcul, mails, textos, vídeos. Típic d'aquesta classe d'atacs, els delinqüents exigien $500 (en bitcoins) per proveir la clau de xifrat amb la qual podrien recuperar els seus arxius. D'allí el seu nom. "Ransom" en anglès significa rescat.
Hi havia poc per fer, francament. A l'inrevés que la majoria dels virus actuals, que tracten de passar inadvertits i, per tant, no afecten els arxius, els ransomware fan blanc en els documents i arrasen amb ells. Hi ha variants d'aquest modus operandi, però es redueixen, grosso modo, a dos. O xifren arxius i demanen plata a canvi de donar-nos la clau per desxifrar o bloquegen l'accés a Windows sense xifrar res.
L'escenari més temible és aquell en el qual els nostres documents van ser xifrats, perquè o paguem o perdem aquesta informació. Per a molts (un comptador, per exemple), no hi ha massa opcions; és això, o quedar-se sense els seus clients. Em diu Martín que coneix a 5 persones que van pagar el rescat.
Però també és cert que com més víctimes paguin, més ransomware arribarà a les nostres màquines. A propòsit, moltes persones van pagar el rescat, però van poder desxifrar només alguns dels seus arxius. I no, no hi ha una finestreta de reclams, oblida't.
En el cas de Cynthia, va recórrer al ShadowExplorer (http://www.shadowexplorer.com), un programa gratuït que serveix per recuperar arxius esborrats o accedir a l'historial d'arxius en els Windows domèstics. Per descomptat, no pot garantir que es restaurin tots els fitxers, ni de bon tros les seves últimes versions. Com es veurà després, i com diu la gent de ShadowExplorer, aquest programa no reemplaça les còpies de seguretat.
Eventualment, apareixen alguns serveis que permeten desxifrar els arxius (sense càrrec), com explica Brian Krebs en aquest article (http://krebsonsecurity.com/2014/08/new-site-recovers-files-locked-by-cryptolocker-ransomware /), però un no pot apostar a que això sempre passi.
Així que cal concentrar-se més bé en dos aspectes. Prevenir els atacs i estar preparat per revertir el dany, si caiem en el parany. Una cosa és segura: els ransomware ja són aquí, en espanyol (algunes traduccions pudor, això sí) i van per més. Pensar que no ens passarà és un molt mal negoci.
MODES D'ATAC
Com es propaguen els ransomware? Normalment, com troians. És a dir, un adjunt que arriba per mail, amb algun pretext que t'obliga a obrir el fitxer. Es diu enginyeria social i de seguida tornaré sobre aquest assumpte.
En el cas de Cynthia, va anar un correu electrònic amb un adjunt amb l'extensió .SCR. Els .SCR són protectors de pantalla de Windows i resulten ideals per enganyar. Com no acaben en .EXE (l'extensió més coneguda dels programes executables), creiem que són segurs. Què pot haver-hi més inofensiu que un protector de pantalla?
La mala notícia és que els .SCR poden contenir codi executable. El mateix passa amb els .PIF (Program Information File), que normalment no tenen res executable, però que seran tractats per Windows com si fossin .EXE en el cas de contenir-lo. Els .CAB (Cabinet, els comprimits de Windows) i els .ZIP poden també amagar un programa maliciós. La llista d'extensions que corresponen a arxius executables és bastant extensa; poden veure aquí, per a diverses plataformes (http://www.file-extensions.org/filetype/extension/name/program-executable-files).
Usualment, l'atac dels ransomware es dóna en dos passos. En el primer, obrim l'adjunt i es posa en marxa un downloader que descarrega d'Internet la versió més recent (i, per això, més difícil de detectar per l'antivirus) del malware. Fet això, es posarà en marxa el procés de xifrat. Quan acabi (depenent del nombre i grandària dels arxius, portarà més o menys temps) apareixerà la nefasta advertència.
A vegades l'advertència és més o menys vistosa, com en el cas del CTB-Locker que va atacar la màquina de Cynthia; en d'altres, com el CryptoWall que es va infiltrar a la PC de la col·lega de Martín, era un simple arxiu de text que es mostrava en arrencar i apagar l'equip.
Una altra forma d'atac és per via de les suposades actualitzacions que els llocs ens diuen que hem de descarregar per poder veure un vídeo o accedir a una pàgina. Mai segueixis aquestes instruccions. En 10 de 10 casos són virus. Si un lloc demana instal·lar alguna cosa per seguir, cerrá la pàgina immediatament. Utilitza extensions com WOT (https://www.mywot.com) o Netcraft (http://toolbar.netcraft.com) és molt aconsellable. WOT en particular adverteix a temps si el lloc al qual estàs per entrar és poc fiable.
Dues eines específiques per posar-los límit a aquests bestioles. D'una banda, SpywareBlaster (http://www.brightfort.com/spywareblaster.html), que fa servir killbits per bloquejar controls ActiveX dubtosos. De l'altra, CryptoPrevent (http://www.foolishit.com/vb6-projects/cryptoprevent/), que evita que els ransomware copiïn els seus arxius en el disc de la nostra màquina i bloqueja les extensions executables falses, entre altres coses.
Molt bé, sabem llavors que les bones pràctiques de seguretat inclouen no donar-los doble clic a adjunts, no seguir enllaços que ens arriben per xat o correu i no instal·lar alguna cosa que un lloc ens exigeix per poder accedir a un contingut (sobretot a un contingut molt temptador). Llavors, per què tantes persones cauen en el parany?
Un momentet
El principal motiu és la totpoderosa enginyeria social, el conte de l'oncle virtual. No obstant això, té un punt feble. Perquè funcioni, l'enginyeria social requereix que la víctima faci clic a un enllaç, doble clic en un adjunt o instal·lar un programa. És a dir, executar alguna acció. Això ens dóna un o dos segons per pensar si no estem per caure en un parany. Com vaig dir en aquesta columna (http://www.lanacion.com.ar/1728781), la clau contra l'enginyeria social -en Internet o al món real- és pensar dues vegades, prendre sempre (sempre) uns segons abans de fer aquest clic o aquest doble clic.
Si tractem de memoritzar la llista de les extensions perilloses a Windows, mai guanyarem la batalla contra el pirata. Si tractem de saber si tots els components de l'equip estan actualitzats, el mateix. La solució no passa per aquí, sinó per dir que no davant el més mínim dubte. A les 12 i mitja de la nit t'arriba una factura dins d'un ZIP, i saps que el remitent baixa la persiana a les 6 i no dóna senyals de vida fins a les 9 de l'altre dia. És estrany. I si és rar, alguna cosa està malament.
L'enginyeria social, per descomptat, també recorre a un altre truc sinistre. Infecta la màquina d'un amic, de la teva dona, d'un proveïdor, del teu cap, i després envia l'arxiu infectat a tots els seus contactes, incloent-. Vós creés que el mail ve del teu germà o el teu cap, i confies. Mal fet. No importa de qui vingui, pensa sempre dues vegades (o tres) abans de donar-los clic a adjunts i links.
Una altra estratagema menyspreable, però summament efectiva, és vestir el missatge amb un advertiment policial, amb logos i tot. O com un mail de, per exemple, PayPal. O com un avís fiscal. Si la llei o els diners estan involucrats, gairebé tothom s'espanta, deixa de pensar i fa clic, que és el que el delinqüent cerca. Hi ha doncs una regla universal aquí: com més greu és la situació que et presenten al mail (t'acusen per narcotràfic, et diuen que la teva targeta de crèdit és falsa o que el teu declaració jurada està forjada), més probable és que sigui un virus .
PREPARATS
Ara, suposem que vas cometre l'error de donar-li doble clic a l'adjunt equivocat i va entrar un ransomware. Què seria l'únic que podria salvar el dia? Exacte: un backup el més actualitzat que puguis.
Entre parèntesis, com he dit abans, xifrar porta temps. Una cosa que pots fer, si t'adones que alguna cosa molt dolent acaba de passar, és apagar l'ordinador immediatament i reiniciar amb un disc de rescat. És fàcil crear un Linux Live en un pendrive (http://www.lanacion.com.ar/1488015) i utilitzar-lo per arrencar la PC i copiar els documents, i només els documents, fora de l'ordinador. Potser aconsegueixis rescatar una part substancial.
Si tens un backup actualitzat, no hi ha molt de què preocupar-se. Si et atacar un ransomware, podeu formatar aquest disc, tornar a instal lar Windows i les aplicacions i recuperar els teus arxius des del backup. Ja sé, és un mal d'esquena. Però molt pitjor és haver de formatar, instal·lar i sobre vas perdre totes les fotos del teu casament o tots els XLS dels teus clients.
Un bon programari gratuït per fer backup, aquí: http://www.2brightsparks.com/freeware/freeware-hub.htm. Una altra solució és usar el Núvol, mitjançant serveis com Dropbox, Google Drive o One Drive, de Microsoft.
Ara bé, és més fàcil pregonar la còpia de seguretat de fer-ho. Per això, l'única còpia de seguretat que realment serveix és l'automàtica. En aquesta nota (http://www.lanacion.com.ar/1568031) diverses estratègies de backup entre les que pots triar la que millor s'adapti a les teves usos, costums i maquinari ..
Tags:
COLLONAETES
Gracies...
Una abraçada