Este fin de semana, ha sido subido a Internet un supuesto servicio que, ante el pago de una suma de dinero, ofrece el envío de una herramienta para la recuperación de los archivos cifrados con CryptoLocker. Dado que muchos usuarios han sufrido la inutilización de sus archivos importantes, podrían ver en este servicio una luz de esperanza ante la pérdida total de la información. Sin embargo, ¿es esto posible? ¿Conviene realizar el pago? En este post analizamos la situación.
CryptoLocker es una amenaza informática que ha ganado mucha fama en los últimos meses debido a sus capacidades maliciosas. Este tipo de malware cifra los archivos en la computadora de una víctima, solicitando el pago de un rescate para poder lograr el acceso a ellos nuevamente. Si bien en este blog hemos analizado las ventajas de cifrar nuestra propia información para protegerla ante intrusos, si ella es cifrada por cibercriminales y no tenemos acceso a la clave de cifrado, los datos podrían perderse para siempre. Ese es justamente el principio bajo el cual opera CryptoLocker. Luego de que el usuario ha sido infectado y se han cifrado sus archivos, este malware le da al usuario unos días para realizar el pago del rescate. Pasado este tiempo, los cibercriminales aseguran que dejarán de almacenar la clave privada de cifrado, volviéndose la información irrecuperable para siempre. De igual forma, si el código malicioso es eliminado de la computadora, los archivos permanecen cifrados y el problema persiste.
Bajo estos supuestos, desde hace unos días está disponible en la web un servicio para recuperar la clave ofrecido por los mismos cibercriminales que crearon esta amenaza. Según lo que se observa en el sitio web, se pide algún archivo que se encuentre cifrado para realizar la búsqueda de la clave privada en la base de datos:
Resulta curioso cómo los cibercriminales han implementado un esquema similar al de atención al cliente para sus víctimas: luego de que se ha subido el archivo, se ofrece un número de orden con el cual se tiene acceso al estado del "pedido". Allí se muestra información acerca de la orden creada y la clave pública de cifrado correspondiente al usuario. Para obtener la clave privada se solicita el pago de 10 bitcoins (alrededor de 2200 dólares), un precio bastante elevado si se tiene en cuenta que el precio original solicitado en el momento de la infección es de 2 bitcoins (450 dólares). A continuación se muestra un ejemplo de la pantalla de estado de una orden, obtenido del post de BleepingComputer:
Al igual que en el momento de la infección, no existe ninguna garantía de que al realizar el pago del rescate los archivos podrán ser recuperados. A partir de esto se desprende la principal conclusión ante este tipo de situaciones: ¡No realices el pago! Este servicio web no es un servicio profesional o una ayuda por parte de expertos; es un medio por el cual los cibercriminales realizan delitos de extorsión. Además, dado que la recuperación solamente es posible con la clave privada, y ella está en posesión de los cibercriminales, no confíes en otros servicios de terceros; nadie tiene la solución mágica. Puede que no recuperes nunca tus archivos, pero asegúrate de tomar las medidas necesarias para que no te ocurra nuevamente en el futuro. En primer lugar, se recomienda realizar copias de seguridad de nuestros datos importantes: si le ocurre algo a los archivos, se puede acudir a las copias. En segundo lugar, es necesario contar con una solución de seguridad con capacidad de detección proactiva, que evite la ejecución de este tipo de amenazas en el equipo; los productos de ESET detectan este tipo de malware como Win32/Filecoder.BQ.
Matías Porolli
Especialista de Awareness & Research