¿Cómo eliminar el ransomware?

Si su computadora ha sido infectada con ransomware, deberá recuperar el control de su máquina. Steve Ragan de CSO tiene un excelente video que muestra cómo hacer esto en una máquina con Windows 10. El video tiene todos los detalles, pero los pasos importantes son:

· Reinicie Windows 10 en modo seguro

· Instalar software antimalware

· Escanee el sistema para encontrar el programa ransomware

· Restaurar la computadora a un estado anterior

Pero esto es lo importante a tener en cuenta: mientras sigue estos pasos puede eliminar el malware de su computadora y restaurarlo a su control, no descifrará sus archivos. Su transformación en ilegibilidad ya ha sucedido, y si el malware es sofisticado, será matemáticamente imposible para alguien descifrarlo sin tener acceso a la clave que posee el atacante.

De hecho, al eliminar el malware, ha excluido la posibilidad de restaurar sus archivos pagando a los atacantes el rescate que han solicitado.

Datos y cifras del ransomware

El ransomware es un gran negocio. Hay mucho dinero en ransomware, y el mercado se expandió rápidamente desde el comienzo de la década. En 2017, el ransomware resultó en pérdidas de $ 5 mil millones, tanto en términos de rescates pagados como de gasto y pérdida de tiempo para recuperarse de los ataques.

Eso es 15 veces más que en 2015. En el primer trimestre de 2018, solo un tipo de software de ransomware, SamSam, recaudó $ 1 millón en dinero de rescate.

Algunos mercados son particularmente propensos al ransomware y a pagar el rescate. Se han producido muchos ataques de ransomware de alto perfil en hospitales u otras organizaciones médicas, que son objetivos tentadores: los atacantes saben que, con vidas literalmente en juego, es más probable que estas empresas simplemente paguen un rescate relativamente bajo para que un problema desaparezca.

Se estima que el 45 por ciento de los ataques de ransomware se dirigen a las organizaciones de atención médica y, por el contrario, que el 85 por ciento de las infecciones de malware en las organizaciones de atención médica son ransomware.

¿Otra industria tentadora? El sector de servicios financieros, que es, como dijo Willie Sutton, donde está el dinero. Se estima que el 90 por ciento de las instituciones financieras fueron blanco de un ataque de ransomware en 2017.

Su software anti-malware no necesariamente lo protegerá. Los desarrolladores escriben y modifican constantemente el ransomware, por lo que sus firmas a menudo no son captadas por los programas antivirus típicos. De hecho, hasta el 75 por ciento de las empresas que son víctimas del ransomware estaban ejecutando una protección de punto final actualizada en las máquinas infectadas.

El ransomware no es tan frecuente como solía ser. Si quieres un poco de buenas noticias, es esta: la cantidad de ataques de ransomware, después de explotar a mediados de los años 10, ha disminuido, aunque las cifras iniciales fueron lo suficientemente altas como para que aún sea así. Pero en el primer trimestre de 2017, los ataques de ransomware constituyeron el 60 por ciento de las cargas útiles de malware; ahora se ha reducido al 5 por ciento.

¿Está el Ransomware en declive?

¿Qué hay detrás de este gran chapuzón? En muchos sentidos, es una decisión económica basada en la moneda de elección del cibercriminal: bitcoin. Extraer un rescate de una víctima siempre ha sido impredecible; Es posible que no decidan pagar, o incluso si lo desean, es posible que no estén lo suficientemente familiarizados con Bitcoin para descubrir cómo hacerlo realmente.

Como señala Kaspersky, la disminución del ransomware ha sido acompañada por un aumento en el llamado malware cryptomining, que infecta la computadora víctima y usa su poder de cómputo para crear (o el mío, en lenguaje de criptomonedas) bitcoin sin que el propietario lo sepa.

Esta es una ruta ordenada para usar los recursos de otra persona para obtener bitcoin que evita la mayoría de las dificultades para obtener un rescate, y solo se ha vuelto más atractivo como un ciberataque ya que el precio de bitcoin aumentó a fines de 2017.

Sin embargo, eso no significa que la amenaza haya terminado. Barkly explica que hay dos tipos diferentes de atacantes de ransomware: ataques "básicos" que intentan infectar computadoras indiscriminadamente por gran volumen e incluyen las llamadas plataformas de "ransomware como servicio" que los delincuentes pueden alquilar; y grupos específicos que se centran en segmentos y organizaciones del mercado particularmente vulnerables. Deberías estar en guardia si estás en la última categoría, sin importar si el gran boom del ransomware ha pasado.

Con el precio de bitcoin cayendo en el transcurso de 2018, el análisis de costo-beneficio para los atacantes podría retroceder. En última instancia, usar ransomware o malware cryptomining es una decisión comercial para los atacantes, dice Steve Grobman, director de tecnología de McAfee. "A medida que los precios de las criptomonedas caen, es natural ver un cambio hacia atrás [al ransomware]".

¿Deberías pagar el rescate?

Si su sistema ha sido infectado con malware y ha perdido datos vitales que no puede restaurar desde la copia de seguridad, ¿debería pagar el rescate?

Cuando se habla teóricamente, la mayoría de las agencias de aplicación de la ley instan a no pagar a los atacantes de ransomware, con la lógica de que hacerlo solo alienta a los piratas informáticos a crear más ransomware.

Dicho esto, muchas organizaciones que se ven afectadas por malware rápidamente deje de pensar en términos del "bien mayor" y comience a hacer un análisis de costo-beneficio, sopesando el precio del rescate contra el valor de los datos cifrados.

Según una investigación de Trend Micro, mientras que el 66 por ciento de las compañías dicen que nunca pagarían un rescate como punto de principio, en la práctica el 65 por ciento realmente paga el rescate cuando son golpeados.

Los atacantes de ransomware mantienen los precios relativamente bajos, generalmente entre $ 700 y $ 1.300, una cantidad que las empresas generalmente pueden pagar con poco tiempo de anticipación.

Algún malware particularmente sofisticado detectará el país donde se está ejecutando la computadora infectada y ajustará el rescate para que coincida con la economía de esa nación, exigiendo más de las empresas en los países ricos y menos de las de las regiones pobres.

A menudo se ofrecen descuentos por actuar rápido, para alentar a las víctimas a pagar rápidamente antes de pensar demasiado en ello. En general, el precio se establece de modo que sea lo suficientemente alto como para valer la pena del criminal, pero lo suficientemente bajo como para que a menudo sea más barato de lo que la víctima tendría que pagar para restaurar su computadora o reconstruir los datos perdidos.

Teniendo esto en cuenta, algunas compañías están comenzando a desarrollar la necesidad potencial de pagar el rescate en sus planes de seguridad: por ejemplo, algunas grandes empresas del Reino Unido que de otra manera no están involucradas con la criptomoneda tienen algo de Bitcoin en reserva específicamente para pagos de rescate.

Hay un par de cosas difíciles para recordar aquí, teniendo en cuenta que las personas con las que está tratando son, por supuesto, criminales. Primero, lo que parece ransomware puede no haber cifrado sus datos; asegúrese de no estar tratando con el llamado "scareware" antes de enviar dinero a nadie. Y segundo, pagarle a los atacantes no garantiza que recuperarás tus archivos. A veces los delincuentes simplemente toman el dinero y corren, y es posible que ni siquiera hayan incorporado la funcionalidad de descifrado en el malware.

Pero cualquier malware de este tipo obtendrá rápidamente una reputación y no generará ingresos, por lo que en la mayoría de los casos, Gary Sockrider, principal tecnólogo de seguridad de Arbor Networks, estima alrededor del 65 al 70 por ciento de las veces, los delincuentes llegan y sus datos se restauran.