Evitando el Ransomware

ctb-locker

Últimamente están en auge los virus que secuestran los datos y luego piden un rescate. Este tipo de virus se llama Ransomware y suelen funcionar de la siguiente forma:

Ejemplo del tipo CTB-Locker
Recibimos un correo con un archivo adjunto comprimido que contiene un troyano, el cual después de abrirlo se pone en marcha para descargase de internet el virus que va a cifrar los archivos.
Una vez este se ejecuta, empieza a rastrear todas las carpetas del disco duro C: empezando alfabéticamente por la letra A y terminando por la Z, luego continua con las unidades D:, E:, F: y así sucesivamente, pasando lógicamente por todas las unidades físicas y también por las unidades de red mapeadas (el servidor).
A partir de este momento, ya hemos perdido todos nuestros datos.
Un mensaje nos indicará que paguemos para darnos la clave que descifra los archivos, incluso en algunas versiones nos puede demostrar que funciona descifrando 5 archivos al azar del disco.

¿Qué hacer ahora? Primero denunciar el hecho a las autoridades competentes y luego tenemos varias opciones:

– Recuperar los datos usando las instantáneas de volumen también conocidas como shadow copy. El programa shadowexplorer nos puede ayudar.
– Recuperar de la copia de seguridad que no se haya cifrado.
– Esperar a que alguien, con los años, consiga descifrar estos archivos o que detengan a la banda criminal y liberen el sistema para descifrarlos. ¿¿¿Mmmmm???
– Pagar rescates nunca se recomienda.

¿Qué nos queda ahora?

Haber aprendido la dura lección de lo importante que es tener copias desconectadas físicamente del sistema, un antivirus y un cortafuegos y además tomar medidas para que no vuelva a suceder.

Nos podemos preguntar… ¿por qué el antivirus no me ha servido de nada y seguramente no me va a servir de nada en un futuro para estos ataques?
Este tipo de virus se lanzan en campañas cada cierto tiempo y se aprovechan de los llamados 0-day, que son los fallos de seguridad que todavía no han sido corregidos por los fabricantes de software, momento en que se aprovechan para ejecutar programas sin autorización. Además, los ejecutables del virus son mutaciones que todavía no ha dado tiempo a actualizar en las bases de datos de vacunas de los antivirus.

Cómo engañar al virus
Para que no vuelvan a cifrar nuestros datos, vamos a probar diferentes maneras:

Técnica 1. La carpeta circular:

Esta es un técnica muy simple que consiste en crear en la raíz de la unidad C: una carpeta llamada ___A que sería de las primeras que busca el virus para cifrar, ya que va por orden alfabético y el símbolo de guión bajo viene antes de las letras y números.
Dentro de la carpeta C:\___A crearemos unos archivos falsos llamados:

fotos-vacaciones.zip
trabajo-final-de-carrera.doc
passwords-importantes.xls

y también crearemos una carpeta llamada A.
Lo que vamos a hacer es que al entrar en la carpeta A, nos lleve otra vez a la carpeta C:\___A de manera que entremos de nuevo en la carpeta A, volvamos al punto de partida y así sucesivamente.
De esta forma el virus que cifra los archivos se quedaría (en teoría) atrapado dando vueltas sin poder salir en esa carpeta, salvaguardando el resto de nuestros datos.

Instrucciones para hacerlo en Windows XP (igual para Windows 7):
Creamos la carpeta C:\__A, vamos a Panel de Control > Herramientas Administrativas > Administración del equipo > Almacenamiento > Administración de Discos. Botón derecho en la Partición C:, Cambiar la letra y rutas de acceso de unidad…, Botón Agregar…, Montar en la siguiente carpeta NTFS vacía:. Botón Examinar…, marcamos en azul la carpeta C:\___A y le damos al botón Nueva Carpeta, le ponemos de nombre A y hacemos clic en Aceptar dos veces.

carpeta-circular1

Tenemos, pues, nuestra carpeta circular creada.

carpeta-circular2

Pero después de entrar múltiples veces en ella, el sistema nos da un error, faltaría saber si el virus se detiene al encontrar ese error (lo dudamos) o si por el contrario sigue cifrando el resto de carpetas.

carpeta-circular3

Técnica 2. La carpeta trampa:

En este caso crearemos una carpeta también llamada C:\___A con un archivo suculento:

suculento.doc

Y lo que haremos es una tarea programada que se ejecute cada minuto que compruebe si este archivo ha sido eliminado o modificado y si eso ocurre apagaremos de inmediato el equipo.
Para hacerlo:
Bajaremos el programa md5.exe. Con él comprobaremos la firma del archivo «suculento.doc».

Ejecutaremos:
MD5.EXE suculento.doc
nos dará un resultado, por ejemplo: 8D443F2E93A3F0B67F442E4F1D5A4D6D
y ahora crearemos un fichero .bat llamado COMPROBAR.BAT con lo siguiente:

md5.exe -c8D443F2E93A3F0B67F442E4F1D5A4D6D c:\___A\suculento.doc

if %errorlevel% NEQ 0 goto tenemosvirus
goto final

:tenemosvirus
@echo Parece que tenemos el virus en marcha, apagamos!
shutdown /s /f /t 0
:final

Ahora vamos al programador de tareas y creamos una que se ejecute cada minuto (menos tiempo no se puede) y que llame al COMPROBAR.BAT. En el caso de que algún virus modifique nuestro archivo «suculento.doc», el PC se apagará para evitar males mayores.
La ventaja de esta solución es que no depende de ningún antivirus.

Conclusión
Estas son un par de maneras para intentar luchar contra estos virus. Está claro que son métodos muy alternativos debido a que las protecciones estándar no son efectivas. Puede que ver estos ejemplos nos abra la mente a otros sistemas tan simples como efectivos.
¡Añadid vuestras ideas y comentarios!

Leave a Reply