El virus CryptoWall es un programa ransomware que afecta a los usuarios de Windows. Trabaja de manera muy similar al Virus CryptoDefence. Una vez instalado, encripta todos tus archivos y no te permite acceder a ellos. Para poder desencriptarlos y utilizarlos de nuevo, el programa pide que pagues $500 en bitcoins. Ten en cuenta que el virus CryptoWall fue diseñado por cibercriminales y solo intentará engañarte. Nunca pagues a los creadores del virus, ya que no existe ninguna garantía de que volverás a tener acceso a tu información.
Puede ingresar en tu sistema al visitar sitios web maliciosos o al hacer clic sobre mensajes falsos que imitan ser actualizaciones para el reproductor Java, Flash Player, etc. Una vez dentro, el programa pretende escanear tu sistema y después encripta tus archivos. Posteriormente genera archivos (DECRYPT_INSTRUCTION.txt, DECRYPT_INSTRUCTION.html and DECRYPT_INSTRUCTION.url) con las instrucciones de auxilio en cada folder que contenga archivos encriptados. Las instrucciones explican cómo tener acceso al servicio CryptoWall Decrypt y cómo pagar el rescate.
Esta página avisa al usuario que sus ficheros han sido cifrados y que debe seguir una serie de instrucciones para recuperarlos. En realidad, el cifrado empieza una vez se ha mostrado este mensaje, cuando ya se ha establecido una comunicación entre el ordenador de la víctima y el servidor que utiliza el atacante para controlar todos los sistemas infectados.
En esta comunicación se envía la clave pública única para cada caso, utilizada para cifrar los datos. CryptoWall empieza a cifrar la información almacenada en el disco pasando por varias unidades, una tras otra, exceptuando aquellas que sean unidades de sistemas de almacenamiento ópticos como CDs o DVDs. El ransomware excluye ciertas carpetas para asegurarse de que el sistema sigue funcionando y el usuario puede leer sus mensajes.
Asimismo, se le proporciona a la víctima una serie de enlaces a través de una pasarela a la red Tor, para así dificultar el rastreo de los delincuentes. La web con instrucciones que aparece en las versiones más recientes es similar a la que se muestra a continuación:
Los datos que te deja el virus para que puedas recuperar tus datos.
Respecto a la forma de pago, CryptoWall ha utilizado muchas diferentes durante el tiempo que lleva activo. Comenzó aceptando tarjetas prepagas como Ukash, MoneyPak o Paysafecard para ir aceptando progresivamente criptomonedas como Bitcoin o incluso Litecoin. Esta es una tendencia similar a la que han tenido otras familias de ransomware como Cryptolocker o CTB-Locker, pensada para dificultar el rastreo del dinero pagado como rescate.
Respecto a la cantidad solicitada, actualmente se suelen pedir 500 dólares, aunque se han visto casos en los que la víctima ha llegado a pagar varios miles de dólares para recuperar su información. Seguramente, el delincuente supo, tras una primera comunicación con la víctima, cómo de importantes eran los datos para esta y se aprovechó de ello pidiéndole una cantidad superior.
La Cyber Threat Alliance ha publicado un informe sobre el más dañino, por su fuerte cifrado: CryptoWall 3. Quienes lo estarían manejando serían un equipo de criminales informáticos de élite, que habrían ganado hasta la fecha 325 millones de dólares extorsionando a decenas de miles de víctimas en todo el mundo, mayoritariamente en Estados Unidos. CryptoWall se está distribuyendo vía correo electrónico con adjuntos maliciosos y vía "exploit kits" que acechan a sus víctimas en anuncios en la web y similares.
¿Es posible la recuperación de los datos?
Como en todos los casos de ransomware, la recuperación de los datos una vez estos han sido cifrados depende mucho de la variante. En algunas más antiguas de ciertas familias sí que ha sido posible el descifrado por el uso de una clave débil por parte de los delincuentes. También se han podido recuperar ficheros a partir de las copias de seguridad de Windows (si estas estaban habilitadas) o incluso utilizando herramientas forenses para restaurar los archivos borrados por el ransomware.
Sin embargo, lo más habitual actualmente es que los delincuentes se aseguren de que no existe manera alguna de recuperar los ficheros originales una vez estos han sido cifrados. Esto provoca que, si no se dispone de copias de seguridad actualizadas, se pierda información que puede llegar a ser muy valiosa.
Por eso, los mejores consejos que se pueden dar se basan en la prevención:
- Mantener actualizados los sistemas operativos, navegadores y aplicacionespara evitar que el ransomware pueda aprovechar agujeros de seguridad y se distribuya de forma masiva.
- Evitar abrir correos sospechosos no solicitados. Tanto si proceden de usuarios conocidos como desconocidos, es recomendable asegurarse de que la persona que ha enviado el correo realmente quería remitir ese fichero adjunto o enlace.
- Tener cuidado con absolutamente todos los archivos adjuntos a un e-mail o descargados desde un enlace, especialmente aquellos que vienen comprimidos en formato ZIP. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un malware, por lo que es mejor ser precavido.
- La mayoría de los clientes de correo electrónico ofrecen la posibilidad dehacer visibles todas las extensiones de los archivos adjuntos recibidos.
- Disponer como mínimo de dos copias de seguridad actualizadas y cada una de ellas alojada en una ubicación diferente a la otra.
- Activar el sistema de restauración de ficheros Shadow Copyde Windows para restaurar los archivos afectados por el ransomware a una versión anterior (en el caso de que estos últimos no se hayan visto afectados).
- Utilizar herramientas especializadas(como Anti Ransom o CryptoPrevent) para recibir alertas en caso de que un ransomware empiece a cifrar archivos, e incluso para evitar el cifrado de cierto tipo de ficheros en ubicaciones determinadas.