virus de correos cryptolocker

Virus de Correos / Policia

El Virus de Correos

Ultimamente veo un montón de gente sufrir el virus de Correos. Este virus, realmente conocido como CryptoLocker, es una variante de otro virus que ya causó estragos en su día y que se hizo popular como el virus de la policía. En esta última tanda, los usuarios afectados reciben correos similares a los que podemos ver en las siguientes imágenes. Los correos pueden llegar desde contactos conocidos e infectados por el usuario atacado y pueden tanto ir con un archivo adjunto como invitarte a visitar una URL que te infecta posteriormente.

Un ejemplo del virus CryptoLocker haciéndose pasar por un mensaje de Correos y telégrafos. Esto le ha hecho ganarse el apodo del virus de correos.
virus de correosPodemos ver como el mensaje tiene multitud de faltas de ortografía y en algunas frases carece de sentido, probablemente por la utilización de algún traductor online.

La infección del Virus de Correos

Una vez te has infectado (recordemos que te infectas tu solo abriendo el virus, nadie te lo mete ni se pilla solo, por muy frustrante que sea), comenzará a cifrar (encriptar) tus documentos de forma que los convierte en totalmente irrecuperables. Totalmente irrecuperables quiere decir que aunque quites el virus, tus documentos seguirán cifrados e ilegibles. Pasaremos por este punto más tarde en este post.

El primer síntoma de infección es la aparición de esta ventana. Ten clara una cosa. Cuando ves este mensaje, el virus lleva actuando ya un tiempo.
virus de correos cryptolocker

 

En ella se nos informa mediante un mensaje titulado «Tus archivos personales se cifran por CBT-Locker» A continuación, un texto nos informa de que todos nuestros documentos, fotografías, bases de datos y otros archivos importantes han sido cifrados con el cifrado más fuerte posible y con una clave única, generada para este equipo. Si te acaba de salir este mensaje, apaga inmediatamente el ordenador, así impedirás que más documentos se cifren. Si acudes a pedir ayuda, que sea de alguien que sepa perfectamente como lidiar con el virus CryptoLocker. Cuanto más tiempo está activo el virus, más documentos cifra y más daño te puede causar. Es importante no dormirse en los laureles.

Una vez el virus está funcionando, comenzará a ejecutarse el proceso Cryptolocker.exe, aunque hay variantes con otros nombres.
virus de correos

 

 

Si pulsamos el botón de siguiente, nos saldrá el siguiente mensaje informándonos de todos los detalles de lo que está ocurriendo en nuestro equipo
virus de correos cryptolocker

Si quieres leer con calma el contenido del mensaje, por si has apagado el equipo nada más ver el mensaje, aquí lo tienes a continuación:
virus de correos cryptolocker

 

¿Que documentos cifra el Virus de Correos?

El virus de correos, Cryptolocker / CryptoWall, cifra los siguientes tipos de archivo:
.jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, .xlsx

Eliminar el Virus de Correos

El tipo de virus al que pertenece el virus de correos se conocen comunmente como ramsonware. Se trata de virus que secuestran tu información y te ofrecen la posibilidad de recuperarla mediante el pago de un rescate. Parece de locos, pero es totalmente cierto y actual. Tu información se cifra (encripta) con una clave generada expresamente para tu ordenador y que SOLO los maleantes que controlan el virus conocen. El cifrado de los datos es IMPOSIBLE de romper y los piratas que han secuestrado tus documentos así lo hacen saber. Esto quiere decir que tu primo, el amigo informático, el responsable de IT de tu departamento, la policía o el FBI no tienen capacidad para romper este cifrado.

Los virus ramsonware tienen una forma de funcionar un poco peculiar, y es que cuando han cifrado todos tus documentos, en muchas ocasiones (no siempre) se borran a si mismos. El propósito del virus es cifrar tus documentos. La infección se hace por correo o por enlaces maliciosos, no entre ordenadores.

Por lo general cualquier antivirus (me han comentado que McAfee y Security Essentials lo hacen, son capaces de eliminar el virus sin problemas. Esto se debe a que no lleva mucha protección, pues en cuanto comienza a actuar ya está haciendo daño cifrando tus documentos.

¿Como funciona el Virus de Correos?

Técnicamente, la explicación de como funciona el virus de correos, cryptolocker, es la siguiente:

  • El usuario es engañado para que abra un documento con el virus o vaya a un enlace malicioso
  • Tras descargarse, al ejecutar el código del virus la primera vez, se genera una clave única y aleatoria usando la API de Windows CryptGenKey.
  • El virus se pone en contacto con un ordenador remoto, a través de internet, informando de cual es su identificador único de víctima.
  • El virus busca por el disco duro documentos del tipo que se indican un poco más arriba.
  • Cada vez que encuentra un documento de ese tipo, cifra un trozo del comienzo del mismo, suficiente para hacer imposible su recuperación, incluso con técnicas de recuperación y reconstrucción de cabeceras. Este cifrado se realiza con el algoritmo AES256 y con llamadas a la API de Windows CryptEncrypt.
  • Una vez ha terminado de inutilizar el documento, lo renombra con una extensión que puede ser «.nobackup», «.done», «.ultracode» o «.encrypt»
  • Finalmente, por cada carpeta por la que va cifrando los documentos, crea un archivo «instrucciones de descriptado.txt», en el que pone los detalles específicos del secuestro y la forma de pagar el rescate. A continuacion puedes ver un ejemplo del archivo:

virus de correos

¿Puedo recuperar mis documentos?

Con las versiones actuales (final de 2014 y 2015) de los virus crypto locker, crypto wall, NO. Es imposible. Si quieres recuperarlos y no tienes backup externo, tu único recurso es ceder a la extorsión y pagar el rescate.

¿Debo pagar por recuperar mis documentos del virus de correos?

Éticamente, no se debe financiar a la gente que hace estas actividades, ya que solo estamos proporcionandoles medios para que vayan a más y mejoren sus infraestructuras. Lamentablemente la respuesta tiene 2 partes:

  • ¿Tienes un backup offline que no haya sido encriptado?
  • ¿Cuanto valen tus documentos cifrados?

¿Hay garantía de que si pago, recupere mis documentos?

Hay la misma garantía que te podría dar este señor de la foto que pongo a continuación.
Selection_00132

Conozco un caso en el que pagando sí recuperaron los documentos y otro en el que no. Además, conozco un caso adicional en el que tras pagar, comenzó a actuar otro virus que les volvió a cifrar los documentos pasadas unas horas.

¿Como me protejo de virus como el de correos o la policía?

  • Haz siempre copias de seguridad periódicas de tus documentos importantes. Mantén esas copias no conectadas a ordenadores que puedan ser infectados.
  • No des acceso de lectura y escritura a carpetas compartidas salvo cuando sea estrictamente necesario. El virus de correos cifra todos los archivos que encuentra, incluidas las carpetas compartidas que vea a tiro.
  • Si no tienes conocimientos suficientes, contrata la ayuda de un experto en informática de empresas. Beltran Informática Profesional lleva dedicado a la informática profesional para oficinas y empresas desde hace casi 20 años y me ha ayudado a confeccionar este post. Trabaja en la zona de Cantabria / Bilbao y puede ofrecerte soluciones de copia de seguridad con las que podrías haber evitado un problema como este.