|

Cryptolocker uno de los virus más peligrosos de los últimos años. Al infectar el PC, secuestra documentos y pide dinero a cambio de recuperarlos. Si no se hace…

Cryptolocker es un virus secuestrador que infecta Windows XP, Vista, 7 y 8. Se disfraza a sí mismo como un archivo adjunto de tipo ZIP o PDF, aunque también se transmite por control remoto si un PC ha sido infectado previamente por un troyano de tipo “botnet”, que deja abierta la puerta para control remoto e infecciones externas.

Cryptolocker secuestra documentos con una clave secreta

Cuando se ejecuta, Cryptolocker se instala en la carpeta de programas y empieza a cifrar (encriptar) documentos de Office y LibreOffice, archivos PDF, fotos e ilustraciones, que se vuelven inaccesibles. Los archivos se cifran con una clave que solo poseen los autores de Cryptolocker, lo que imposibilita la recuperación.

Los archivos infectados por Cryptolocker se vuelven ilegibles debido al cifrado

Al mismo tiempo, CryptoLocker lanza su terrible amenaza: si el propietario no paga una suma de dinero en el plazo de tres o cuatro días, la clave con la que se bloquearon los archivos será borrada para siempre, y los archivos ya no se podrán rescatar. Es como encerrar a alguien en una celda indestructible y tirar la llave.

Los archivos no se pueden rescatar sin pagar

Si el pobre usuario accede a pagar la suma de dinero, que puede alcanzar los trescientos dólares, Cryptolocker descifra los archivos, aunque no siempre obedece. El pago se puede efectuar a través de MoneyPak, Ukash y -novedad- a través de Bitcoin, una moneda virtual cuyas transacciones se efectúan sin controles.

Las formas de pago que acepta el virus Cryptolocker dificultan la identificación de los autores

Todo intento de pago erróneo disminuye el tiempo disponible para salvar los archivos. Para “ayudar” a los afectados, los autores del virus incluso han puesto una dirección de “soporte técnico” en el fondo de pantalla que Cryptolocker activa en el PC infectado. Esa dirección contiene la versión web de la herramienta de descifrado.

La página de "soporte" de Cryptolocker

El sistema ideado por los criminales es perfecto: si el usuario no paga, los archivos no se pueden recuperar. El cifrado utilizado es demasiado fuerte, e incluso un ataque criptográfico sofisticado tardaría un tiempo larguísimo para descifrar uno cualquiera de los archivos atrapados.

Por eso, si alguien no tiene una copia de seguridad, acaba por pagar a los malhechores.

Qué hacer en caso de infección de Cryptolocker

Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos ni tampoco comunicar con los criminales. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.

Una forma rápida de desactivar la conexión es ir al panel de Red y desactivar los dispositivos

Acto seguido, has de preguntarte qué quieres hacer, si pagar la suma del rescate o eliminar el virus e intentar recuperar los archivos. En caso de que optes por el pago, estás a la merced de los criminales, y la recuperación no está garantizada. Si bien hay muchos informes que comentan que el descifrado empieza a las pocas horas de efectuar el pago, otros comentan que el proceso de recuperación rebosa de fallos. Yo te recomiendo no pagar.

La herramienta de descifrado de Cryptolocker solo funciona si has pagado el rescate...

Sea cual sea tu elección, lo mejor que puedes hacer es obtener una lista de los archivos infectados y cifrados. Para ello, puedes ejecutar la herramienta ListCrilock, que crea un archivo TXT con todos los archivos cifrados por el virus. Otro programa que hace lo mismo es CryptoLocker Scan Tool, que busca archivos tocados por el virus y te dice si necesitan ser recuperados.

CryptoFinder busca archivos infectados y te dice si se pueden recuperar o no

La opción manual consiste en abrir el Editor del Registro de Windows (Inicio > Ejecutar > Regedit) e ir hasta la clave HKEY_CURRENT_USER\Software. Allí verás una carpeta con número y una subcarpeta que contiene los nombres de los archivos: es la de Cryptolocker. Algunos de esos archivos puede que no estén cifrados todavía, y en consecuencia se podrán recuperar. Para los demás, solo puedes buscar en tus copias de seguridad.

Cómo eliminar el virus Cryptolocker del PC

Eliminar Cryptolocker es bastante sencillo, en parte porque los autores del virus cuentan con que la víctima está tan aterrorizada que no quiere eliminar la única forma que tiene de recuperar sus archivos. Por suerte, hay varias formas de recuperar tus archivos, pero antes debes quitar el virus del sistema.

En mi caso, para eliminar Cryptolocker usé la herramienta Norton Power Eraser, un potente anti-troyanos que Symantec distribuye gratis en su página. Copié NPE al equipo a través de una memoria, lo ejecuté y, al finalizar el escaneo, confirmé el borrado de los objetos sospechosos.

Default player

Un reinicio y todo rastro de Cryptolocker había desaparecido (solo había quedado el fondo de pantalla del virus, que de por sí es totalmente inocuo y se puede cambiar sin obstáculos).

Otras herramientas que funcionan son MalwarebytesRogueKiller y ComboFix. Los antivirus tradicionales tienen problemas para identificar Cryptolocker como una infección, sobre todo por la velocidad con la que aparecen nuevas variantes, pero ya se están poniendo al día.

Cómo recuperar los archivos infectados por Cryptolocker

Cryptolocker solo ataca documentos que se encuentran en el PC y en las unidades de red. No ataca archivos que se encuentran en unidades desconectadas o en servidores que están en Internet. Tampoco ataca documentos que se encuentran comprimidos. Su objetivo son los archivos que se encuentran en PC empresariales.

Extensiones que ataca Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.

Una vez que has desinfectado el PC, lo mejor que puedes hacer es recurrir a uno de los "secretos" más interesantes de Windows, las copias sombra (Shadow Copy), versiones previas que Windows almacena cada vez que un archivo se modifica. Para acceder a esta característica basta con hacer clic derecho sobre un archivo y abrir las propiedades.

En la pestaña Versiones previas verás las diferentes versiones que Windows ha almacenado. Elige la copia de seguridad más reciente que sea anterior a la infección y haz clic para restaurarla. Una forma más rápida y cómoda de acceder a todas las copias Shadow que hay en el disco duro es a través de la herramienta gratuita ShadowExplorer.

Shadow Explorer es muy fácil de usar. Basta con elegir la unidad, la fecha de las copias -que está en el menú desplegable que hay al lado de las unidades- y luego navegar por las carpetas y archivos disponibles. Las copias se extraen con un clic derecho sobre el archivo y otro clic sobre “Exportar”.

Otra opción para recuperar los archivos es usar una copia de seguridad previa que tuvieses almacenada en un disco duro desconectado, un servidor remoto o en discos DVD. Los archivos almacenados en Dropbox, SkyDrive o Drive también son buenos candidatos para la recuperación.

Cuando recuperes una copia desde Dropbox o Google Drive debes asegurarte que no sea una de las copias infectadas. Ambas aplicaciones cuentan con un historial de versiones para cada documento. En Drive, por ejemplo, está en Archivo > Ver historial de revisiones. Desde allí puedes recuperar el archivo deseado.

Cómo prevenir infecciones por Cryptolocker

Los autores de Cryptolocker diseñaron su virus con dos prejuicios en mente: que todos abrimos los archivos adjuntos y que nadie guarda copias de seguridad recientes de sus documentos. Tuya es la tarea de desmontar este mito. Para ello, tienes que reforzar tus políticas de seguridad (o tu empresa por ti).

Para empezar, desconfía de los correos sospechosos. Si no son correos que esperas, no debes abrir los archivos adjuntos por ninguna razón. Lo mismo aplica si estás usando correo web: si no has solicitado nada, no hagas clic. Esta regla evitará la mayoría de infecciones oportunistas, el medio principal de propagación del virus.

Un virus detectado por Gmail, que impide bajarlo (imagen de AskDaveTaylor)

Los más preocupados pueden usar la herramienta CryptoPrevent para deshabilitar el tipo de permisos que el virus aprovecha para instalarse. La herramienta modifica las políticas de seguridad de Windows para evitar que un programa pueda ejecutarse desde la carpeta de Datos de programa (AppData).

Al ejecutar CryptoPrevent, marca las primera, segunda y cuarta casillas para que los programas ya existentes en las carpetas puedan seguir ejecutándose. El botón “Undo” permite deshacer la maniobra, útil si has de añadir algún programa nuevo o si este parche te crea más incomodidad que seguridad.

Finalmente, si no lo has hecho ya, conviene que crees tu propio plan de copias de seguridad. Según datos de la firma BackBlaze, más de un 30% de los usuarios trabaja sin copias de seguridad de sus documentos, y solo un 10% hace copias diarias. Debes configurar un sistema de copias al menos para tus documentos más vitales.

Las copias Shadow de Windows se activan desde el menú de Propiedades de Sistema, al que puedes acceder con un clic derecho sobre el icono de Mi Pc, o también desde el Panel de control, dentro de la sección Sistema. El apartado Protección del sistema es el que permite habilitar las “copias sombra” y definir cuánto espacio destinar a ellas.

Cryptolocker es más peligroso que el Virus de la Policía

Todos recordamos al temible Reveton, el virus de la policía que sembró el pánico en millones de hogares y oficinas. El virus mostraba un mensaje que parecía haber sido redactado por la policía e instaba a las víctimas a pagar una suma a cambio de no ser perseguidos por crímenes horribles. Pero el virus no tocaba los archivos.

Cryptolocker es más dañino. A finales de 2013 se calculó que ya había infectado un cuarto de millón de PC. Puesto que las transacciones con Bitcoin se pueden analizar, algunos expertos descubrieron que los cibercriminales están ganando decenas de millones de dólares gracias a este virus.

La forma en que Cryptolocker infecta los PC es convencional, y se puede rechazar si tomas las precauciones que he indicado más arriba. La lección más importante, con todo, es que necesitas tener al día tus copias de seguridad. Tus datos son un pequeño tesoro, y los criminales ahora apuntan a hacerles daño a cambio de tu dinero.

¿Has sido infectado alguna vez por Cryptolocker?

Artículos relacionados:

Sígueme en Twitter: @remoquete

Comentarios

  • loganronny |
    28/01/14
    loganronny

    NORTON CREA UN VIRUS(Cryptolocker)Y LUEGO la cura (Norton Power Eraser)

  • alvargon |
    28/01/14
    alvargon

    Bastante peliagudo, gracias por informar ;)

  • whoar27 |
    29/01/14
    whoar27

    jeje el comentario del amigo loganronny es totalmente acertado, es negocio... pero bueno, al menos crea la cura y si es eficaz como dicen pues hay que tenerlo en cuenta. Grata información Softonic, un saludo desde Colombia.

  • Fabrizio Ferri |
    29/01/14
    Fabrizio Ferri

    loganronny: siguiendo tu regla de tres, todos los antivirus capaces de quitar este virus también han participado en su creación, ¿no? :-)

  • kenesito |
    30/01/14
    kenesito

    Gracias por la informacion amigo estaremos pendiente

  • Elros Tasardur |
    03/02/14
    Elros Tasardur

    Muy interesante. Muchas gracias por la aportacion.

  • Slif24 |
    03/02/14
    Slif24

    loganronny: Lo que dices puede tener sentido en casos sin grandes robos de por medio. Quiero decir, no me parece descabellado desatar una enfermedad para vender la cura, sobretodo si es la base de tu negocio. De hecho, con eso debería de bastarles para sacar una pasta (recordemos que el objetivo de estos virus no es el usuario de a pie, si no las empresas, que han de tener todo debidamente registrado y sin piraterías ni historias). Ahora, si hablamos de un virus que quiere sacar dinero, lo más normal es que se trate de gente ajena que, en vez de crear un virus por fastidiar o que compres un antivirus, necesitan de esos ingresos. Vamos, se descubre que Symantec (Norton) se ha llevado ese dinero y se lía la de Dios.

  • sergiofroilan |
    03/02/14
    sergiofroilan

    Gracia, estaremos con las pilas puesto y espero que no aproveche ese minuto de descuido que todos tenemos. Saludos

  • ajmata25 |
    03/02/14
    ajmata25

    Hay un sutil detalle que se le ha escapado a loganronny:

    Que según lo que Fabrizio ha escrito, Norton Power Eraser ¡está disponible GRATIS en la página de Symantec!, al igual que ha pasado en otras empresas de su especialidad de negocio, con otro software maligno.

    Tampoco necesitan, las empresas de su misma actividad, crear software maligno, puesto que, por desgracia, los que se dedican a hacerlo, son un colectivo que no está en vía de extinción, precisamente.

    Saludos y Sentido Común para tod@s.

  • jose.salazaralbornoz |
    03/02/14
    jose.salazaralbornoz

    La cura = usar linux

  • jose.salazaralbornoz |
    03/02/14
    jose.salazaralbornoz

    Cuando edward snowden revele la verdad, todos le deberán una disculpa publica a loganronny ;)

  • jose.salazaralbornoz |
    03/02/14
    jose.salazaralbornoz

    Para mis amigos conspiranoicos, quieren que les revele una verdadera conspiración ? El usuario loganronny es en realidad Fabrizio que a creado toda esta discusión para hacer mas polémico el articulo y por lo tanto hacerlo mas popular, lo que a su ves hará mas popular a softonic.

  • Fabrizio Ferri |
    03/02/14
    Fabrizio Ferri

    jose.salazaralbornoz: aprecio el intento humorístico, pero te aseguro que cuando comento no lo hago todo en mayúsculas. ;-)

  • jmramosa |
    03/02/14
    jmramosa

    Linux,linux y linux...sin sectarismos,pero linux.Es más sano.

  • MEZA666 |
    03/02/14
    MEZA666

    muchas gracias por mantenernos informados, saludo desde colombia

  • Pilusman |
    03/02/14
    Pilusman

    Muchas gracias, muy interesante. Es para estar alerta! Saludos.

  • jara_pcs |
    03/02/14
    jara_pcs

    Mejor no usar PC y volver al papel y lapiz... jajaj mentira..

  • Joserrri |
    03/02/14
    Joserrri

    Una tontería más de Softonic.

    Lo que la gente tiene que saber, si es madura, es que los anivirus gratis cuelan de todo. En esta vida hay que pagar para todo. Quien no sepa eso, no ha descubierto todavía el mundo.

  • fran laser |
    03/02/14
    fran laser

    Hay que tocar madera por que no nos metan ese virus sobre todo a los seniors novatos y con discapacidad motora. Francisco

  • Cayetx |
    03/02/14
    Cayetx

    Gran artículo. Parece más fácil de eliminar que "El virus de la Policía", y eso que asusta mucho más :S

  • Pirata69 |
    03/02/14
    Pirata69

    Muy buen articulo, felicitaciones.

  • leonel2 |
    03/02/14
    leonel2

    muchas gracias por la explicación, muy buena como siempre, gracias una vez mas

  • Josenny Miguel |
    04/02/14
    Josenny Miguel

    Estuvo muy interesante el post de hoy.

  • bionico_1 |
    04/02/14
    bionico_1

    Recuerdo que el año pasado (septiembre de 2013)me toco desinfectar una computadora que tenia el virus de la policía ....lamentablemente aun existe tanta gente que se dedica a navegar arbitrariamente en toda la web sin tomar ningún tipo de prevención ....y al final tienen que pagarnos a técnicos especializados para desinfectar sus equipos ...Tan fácil como restaurar sistema 2 puntos anteriores a la fecha de la infección y santo remedio !... A veces es necesario antes hacer ajustes en los registros en caso que no se pueda acceder a Restaurar Sistema .

  • iferfocawaw |
    04/02/14
    iferfocawaw

    Interesante articulo, en que puede afectar mi vida usando Linux?

  • TdR. |
    04/02/14
    TdR.

    Totalmente de acuerdo con los comentarios de a los que por aqui llaman conspiranoicos, ante la falta de ingresos lo mejor es convertirse en bombero piromano y eso que de siempre admire a Norton y sus utilidades pero se han mercenarizado hace ya tiempo. Softonic...lo sigo desde 1997 y no creo quie

  • TdR. |
    04/02/14
    TdR.

    Totalmente de acuerdo con los comentarios de a los que por aqui llaman conspiranoicos, ante la falta de ingresos lo mejor es convertirse en bombero piromano y eso que de siempre admire a Norton y sus utilidades pero se han mercenarizado hace ya tiempo. Softonic...lo sigo desde 1997 y no creo quie

  • TdR. |
    04/02/14
    TdR.

    no creo que necesiten darse publicidad.

  • miau26 |
    04/02/14
    miau26

    Gracias Fabrizio, espero continúes bien y que ningún bicho afecte tu discocerebro. Saludos.

  • croner1 |
    04/02/14
    croner1

    Yo lo he visto en acción y en servidores con Windows 2003 server, en acción y crea una cadena de encryptacion de 1024 bits la cual no es desencryptable por el momento.

  • croner1 |
    04/02/14
    croner1

    doy fe de esto, y en un servidor 2003 server y no se pudo desincriptar, se tiro de copia de sguridad, lo cifra a 1024 bits, y no hay herramienta capaz de hacerlo

  • henry.perego.3 |
    05/02/14
    henry.perego.3

    gracias por la información y los consejos

  • mar5 |
    05/02/14
    mar5

    gracias por la informacion amigo estaremos pendientes

  • Centerr |
    05/02/14
    Centerr

    Tsss bueno pues la verdad yo no e sido infectado por este virus y ahora con su prevención no creo que me pase. igual gracias softonic.

  • yasserjose.ulloamartinez.7 |
    05/02/14
    yasserjose.ulloamartinez.7

    muy interesante y muchas gracias por el dato me gusta saber que hay personas que se interesan por erradicar a los pendejos delicuentes que lo unico que saben es dañar a las personas para sacarles el dinero no buscan como trabajar y ganarselo

  • alexi_pino |
    05/02/14
    alexi_pino

    buen informe, gracias.

  • @ArturoGnuxdar |
    06/02/14
    @ArturoGnuxdar

    Una de las maneras de evitar este tipo de malware tipo troyano es instalar herramientas de seguridad que permitan la seguridad e integridad de tus datos y en efecto también de tu maquina, es un virus muy poderoso pero actualmente existen muchas herramientas disponibles para su erradicación, algunas herramientas mencionadas ya por Fabrizio. Como dice croner1, en realidad esta cifrado con un a clave RSA de 2048 bit lo cual lo hace casi imposible de desencriptar, sin embargo KasperkyLAb ha creado herramientas para prevenir la infección en nuestras maquinas de este virus; Tal es el caso de un DNS y un scanner de malware (Kaspersky Security Scan), que esta constantemente actualizado de la nube.

  • Gabi.garcia |
    07/02/14
    Gabi.garcia

    Hay una cosa que no entiendo en éste tipo de chantajes. Si piden dinero, se sabrá a dónde va a parar por lo tanto se puede localizar a éstos delincuentes. No creo que las policías de todo el mundo sean tan torpes como para no cazar a éstos criminales... ¿o si?. ¿tan sencillo es recibir dinero de extorsiones sin que te sigan la pista?

  • Fabrizio Ferri |
    07/02/14
    Fabrizio Ferri

    Gabi.garcia: es muy difícil encontrar al propietario de una cartera de bitcoins. Si a eso añades que los servidores se encuentran en países como Rusia, cuyas empresas no proporcionan datos a la justicia de otros países, la cosa se complica todavía más.

  • lord___alucard |
    07/02/14
    lord___alucard

    Me encanta como la gente siempre encuentra la forma de transformar algo que debería beneficiarnos en algo que nos daña. Por cierto para los conspiracionistas aquí otra teoría mas, el virus fue creado por la comunidad Linux para obligarnos a cambiar de S.O.

  • sombra fantasma |
    08/02/14
    sombra fantasma

    ¿donde puede infectarme con ese virus? quiero hacer un experimento :)

  • GHAMSOFT2006 |
    08/02/14
    GHAMSOFT2006

    Tengo archivos encriptados con extensión loched se pueden recuperar?

  • GHAMSOFT2006 |
    08/02/14
    GHAMSOFT2006

    Con extensión locked

  • @ArturoGnuxdar |
    08/02/14
    @ArturoGnuxdar

    Gabi.garcia lo que sucede es que piden el rescate con un pago en bitcoins que es una moneda virtual (una de sus formas), esto a parte de lo que te aclara Fabrizio, añádele que "alguien" sea quien sea, que vaya a estafar no colocara sus verdaderos datos y en este caso que se tratan de cybercriminales, saben muy bien como cubrir sus datos de navegación y identidad. algunos otros consejos: mundoweb-security.com/2013/11-acciones-para-protegerse-contra-el-ransomware-incluyendo-cryptolocker/ lord_alucard no hay indisio de quien haya creado el troyano.

  • BlueDraco |
    10/02/14
    BlueDraco

    La policía cibernética ¿no puede?, que tribulación, pensé que eran lo máximo. Y ahora ¿quién podrá defendernos?, ¿el chapulín colorado?, ¿supermán?, ¿quién?. Mejor voy a crear un supervirus, muy poderoso, de modo que cuando accesen los que diseñaron cryptolocker se contaminen y sufran las de Caín, es decir, machetazo a caballo de espadas (es broma). Muchas gracias Fabrizio, muy valioso tu reportaje. Saludos al gran equipo de Softonic, adiós. Many.

  • Ricardo81262 |
    15/02/14
    Ricardo81262

    Ubuntu me funciona de maravilla sobre todo con las últimas actualizaciones. El caso es que windows XP también me sigue gustando. Nos sé, me lo tendría que hacer mirar. Bravo por el dossier Fabrizio, un afectuoso saludo. Ah, el de supervivencia de los abuelos xp´s. Una obra de arte. Gracias.

  • kimikazio |
    16/02/14
    kimikazio

    nota a los de linux: los virus están pensados para que al atacar haya un mínimo margen de error, de modo que si creas un virus lo lógico es atacar windows puesto que es el más extendido y tienen mayor probabilidad de infección.

    Atacar linux, OSX y demás no les sale rentable porque el porcentaje es menor. Pero si fuera al revés y esos sistemas estuvieran más extendidos, tranquilos que ya habría virus para todos.

  • Khamy |
    18/02/14
    Khamy

    Un artículo a tener muy en cuenta para los que vivimos en Windows porque usamos el ordenador para hacer cosas que no son endogámicas y creamos archivos de temáticas que no son solo informática en lugar de vegetar en Linux.

  • retocador |
    07/03/14
    retocador

    que tal amigo fabricio siempre sigo tus enlaces quisera acerte una pregunta sabras algo del celular balck berry z1 porque se calienta demasiado al momento de usarlo te agradeceria mucho tu informacion

  • retocador |
    07/03/14
    retocador

    z10

24/07/14
Tu imagen de usuario