Virus Ransomware: què són i com actuen

Cristian Colen
27/12/2018 - 16:50h

A “Informàtica i més” estan acostumats que cada vegada més particulars i empreses presenten incidències als seus ordinadors en forma de virus Ransomware. Ens fan cinc cèntims del seu perill.

El Ransomware és un tipus de virus molt perillós que actua al nostre ordinador o servidor d’una manera determinada: el virus, un cop s’executa, localitza totes les unitats connectades al nostre sistema operatiu Windows, discs durs externs, discs durs interns, pen drives i qualsevol dispositiu de xarxa al qual pugui accedir (carpetes compartides en altres ordinadors, sistemes NAS…).Tot seguit crea una clau privada amb la qual es xifraran tots els arxius dels nostres sistemes deixant-los totalment inoperatius i inaccessibles. Fan servir un sistema de prioritats per tal d’encriptar primer els arxius .DOC, .PDF i .XLS, com també les bases de dades de programes de gestió.

És aleshores quan l’usuari veu a la pantalla un document de text on se li indiquen els passos a seguir per tal de recuperar els seus arxius. Sempre es demana un rescat econòmic per tal de recuperar arxius, i per tant estem parlant d’un segrest de les nostres dades.Els hackers, segons la quantitat d’arxius encriptats i la seva importància, demanen més o menys diners per tal de rescatar-los.L’única manera de recuperar els arxius és mitjançant una eina de desencriptatge que només acostumen a tenir els atacants. Les diferents variants de Ransomware acostumen a ser desencriptables passat un temps, durant el qual els fabricants d’antivirus aconsegueixen generar un codi de desencriptació o bé comprant les eines als hacker. Aquestes les comparteixen de manera gratuïta o bé amb algun cost amb els afectats.

En el cas de contactar amb els atacants, els atacants demanen diners a canvi, concretament bitcoins. No es recomana contactar amb els atacants i ni molt menys pagar diners esperant que ens ajudin a recuperar. Sovint, els atacants, un cop rebuts els seus diners, desapareixen i no aporten cap tipus d’ajuda.Aquest tipus de virus acostuma entrar als nostres ordinadors mitjançant dues vies molt conegudes:

Escriptori remot (RDP)
El servei d’escriptori remot (RDP) és avui en dia un dels serveis més vulnerable dels sistemes Windows. Aquest servei permet connectar un usuari a un servidor remot o a un ordinador personal. S’acostuma a utilitzar en empreses per tal de treballar d’una seu a una altra, en companyies on s’utilitzen programes multiusuari en diferents ordinadors o en casos en els quals l’usuari vulgui treballar des de casa.

El servei permet controlar totalment un PC a distància, i d’aquí la seva gran vulnerabilitat. La verificació per l’accés es fa mitjançant un usuari i una contrasenya. Els atacants obtenen les credencials (usuari i contrasenya) mitjançant diverses vies:

-Portals on es compren credencials de servidors atacats prèviament per altres i les quals posen a la venda per tal que altres les comprin.

-Fent ús de programes de força bruta, els quals escanegen els servidors/ordinadors utilitzant uns diccionaris d’usuaris i contrasenyes més usades habitualment. D’aquesta manera es proven diferents usuaris i contrasenyes fins a trobar les credencials correctes, de manera que aconsegueixen entrar al nostre servidor/PC.

-Robant les credencials a través de troians prèviament instaŀlats als sistemes.Un cop dins de l’ordinador, els “hackers” executen l’arxiu que actuarà encriptant totes les dades del nostre sistema.

Correu electrònic (‘phishing’)
De ben segur que tots hem sentit a parlar del risc que comporta obrir un document Word, full de càlcul Excel o Power Point provinent d’un remitent desconegut. Els atacants utilitzen mètodes d’enginyeria inversa o bé enginyeria social per enviar-nos correus electrònics maliciosos enganyant els usuaris per tal que obrin l’arxiu que s’hi adjunta (Word, Excel, Powerpoint) o bé obrint un enllaç que apareix al correu.Els documents infectats contenen una macro que de manera invisible descarrega d’internet el virus i l’executa al nostre sistema. De la mateixa manera, els enllaços que apareixen al correu apunten a servidors des d’on automàticament es descarregarà l’arxiu infectat que provocarà la gran catàstrofe al nostre sistema.Prevenció:

– Còpies de seguretat en dispositius externs, com també sistemes cloud.- Deshabilitar el servei d’escriptori remot o bé limitar-lo a través de xarxes privades (VPN).- Utilitzar contrasenyes de molta complexitat.- Tenir molta cura a l’hora d’obrir correus electrònics i verificar els remitents, si cal, diverses vegades.- Analitzar amb l’antivirus els arxius adjunts que apareixen als correus que volem obrir.- Disposar d’un bon sistema d’antivirus i Firewall.A Informàtica i més disposen de les eines específiques per prevenir aquests virus. També treballen amb laboratoris per desencriptar els arxius ja encriptats.

 

“Informatica i +”

També et pot interessar

Comentaris