Últimamente estoy recibiendo muchas consultas sobre éste programa malicioso. Intentaré hacer un pequeño resumen de cómo nos podemos infectar, qué hace el virus, porqué no se puede 'deshacer' y que podemos/debemos hacer si nos infectamos.
- ¿Cómo nos podemos infectar?
Las vía más común es un correo electrónico que tratará de engañarnos para que descarguemos un archivo adjunto o para que hagamos clic en un enlace para descargarlo. El archivo será un ejecutable o un documento de MS Office.
- El ejecutable puede llevar un icono para confundir al usuario, como si fuese un pdf o similar, pero al intentar abrirlo, Windows nos advertirá de que es un programa y de que puede dañar nuestro equipo.
- El documento de MS Office tendrá Macros y al abrirlo seguramente saldrá un mensaje de aviso de que las macros pueden ser dañinas y que si las queremos activar.
- ¿Qué hace el Virus?
Una vez ejecutado, el virus comienza a cifrar los archivos del ordenador. Escoge un archivo, lo cifra y lo borra y así sucesivamente. Al mismo tiempo deja -en cada directorio por el que pasa- instrucciones, normalmente en archivo de texto y en html, de cómo pagar por conseguir un programa que deshaga el daño causado. Lo habitual es que pidan una cantidad de bitcoins a pagar en una cuenta de difícil seguimiento.
Normalmente, tras un tiempo de trabajo, si el usuario no ha notado nada, el propio virus sacará el mensaje avisando de la infección y del modo de recuperar la información. - ¿Por qué no se puede 'deshacer'?
Cuando se cifra un archivo se usa una llave o 'clave' para el cifrado. Dicho llanamente, lo que hacen es encerrar tu información detrás de una puerta cerrada con llave. Lo normal es que la llave necesaria para abrir, sea la misma que la que se usó para cerrar ésa puerta.
Para las primeras versiones del virus, las empresas que proporcionan servicios de antivirus desarrollaron programas tales que, si les enviabas un archivo cifrado y la versión sin cifrar -por ejemplo de algo que te hubieran mandado por correo y que pudieras recuperar de tu buzón en su versión sin cifrar-, eran capaces, por fuerza bruta, de conseguir sacar la llave o clave, y te mandaban un descifrador para ti. Básicamente probaban a cifrar el archivo original con 'todas las llaves posibles' hasta que obtenían un archivo igual al cifrado.
Sin embargo, en las nuevas versiones del virus, las claves de cifrado y descifrado se generan en parejas usando las tecnologías de cifrado de clave pública y privada. Hablando en claro: la llave con la que cierran la puerta es diferente a la llave necesaria para abrirla. Ésta tecnología tiene la particularidad de que es matemáticamente imposible averiguar la clave privada (llave para abrir) aunque se conozca la clave pública (llave que usaron para cerrar).
Así los creadores del bicho eliminaron la única solución que había hasta la fecha. - ¿Qué debemos hacer si nos infectamos?
Lo primero sería apagar el ordenador, yo lo haría incluso desconectándolo de la luz, para no esperar a que se apague él sólo (lo que le daría más tiempo al virus para seguir cifrando información).
Lo siguiente, encender el ordenador con otro sistema operativo, desde un pen-drive o quitar el disco duro y engancharlo a otro ordenador para eliminar el virus con algún antivirus.
¿Llegados aquí, cómo recuperamos nuestra información?
La clave está en que el virus, borra los archivos de forma 'normal' después de cifrarlos, por lo que si tenemos suerte podremos recuperarlos con programas de recuperación de información eliminada. Y digo suerte porque aunque el borrado no es un borrado 'seguro', al ir encriptando nuevos ficheros se pueden pisar los sectores donde estaban los originales y por tanto no hay garantía de poder recuperarlos. De manera que cuanto antes impidamos al virus seguir trabajando y cuanto más espacio libre haya en nuestro disco duro, más fácil será que podamos recuperar la información.
En fin, espero que ésto sirva de ayuda a alguien.
He visto a Nenaza en el parque y me acaba de señalar que el uso de pares de claves publico/privadas no evita que se pueda usar la fuerza bruta para averiguar las claves.
ResponderEliminarComo bien me ha dicho, teniendo un archivo sin cifrar de una copia de seguridad, intentaríamos descifrar el cifrado con todas las posibilidades hasta obtener el original.
Entiendo que el problema después de ése cambio habrá sido que las claves generadas, normalmente son más largas y más fuertes. Además las claves generadas suelen generarse evitando las claves débiles que pueda tener el tipo de cifrado utilizado.
Lo que si es cierto es que la posibilidad de romper por fuerza bruta el cifrado dejó de ser ofrecida por los laboratorios cuando salió esta segunda versión, seguramente más por 'lo costoso' en términos de tiempo de romper el algoritmo más que porque sea imposible.
En fin, si alguien tiene algo más de información al respecto quizás podamos aprender algo más.
Segun veo usa RSA-2048 cosa que es bastante gorda y hasta la salida del primer computador quantico la fuerza bruta seria cosa de meses; si no años. Supongo que si antes se podía romper seria por una vulnerabilidad del algoritmo de cifrado que usaba la version anterior o algo asi.
ResponderEliminar