11/11/2017 Ransomware - Wikipedia, la enciclopedia libre

Ransomware
Un ransomware (del ingls ransom, rescate, y ware, por software) es un tipo de programa daino que restringe el
acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restriccin.1
Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al
usuario a pagar el rescate.

Aunque los ataques se han hecho populares desde mediados de la dcada del 2010, el primer ataque conocido sucedi a
finales de los '80s por parte del Dr. Joseph Popp.2 Su uso creci internacionalmente en junio del 2013. La empresa
McAfee seal que solamente en el primer trimestre del 2013 haba detectado ms de 250 000 tipos de ransomware
nicos.3

ndice
1 Mtodos de propagacin
2 Cmo acta?
3 Ataques ransomware ms conocidos
3.1 Reveton
3.2 CryptoLocker
3.3 CryptoLocker.F y TorrentLocker
3.4 CryptoWall
3.5 TeslaCrypt
3.6 Mamba
3.7 WannaCry
4 Mitigacin
5 Vase tambin
6 Referencias
7 Enlaces externos

Mtodos de propagacin
Normalmente un ransomware se transmite como un troyano o como un gusano, infectando el sistema operativo, por
ejemplo, con un archivo descargado o explotando una vulnerabilidad de software. En este punto, el ransomware se
iniciar, cifrar los archivos del usuario con una determinada clave, que slo el creador del ransomware conoce, e
instar al usuario a que la reclame a cambio de un pago.

Cmo acta?
El atacante camufla el cdigo malicioso dentro de otro archivo o programa apetecible para el usuario que invite a hacer
clic. Algunos ejemplos de estos camuflajes seran:

Archivos adjuntos en correos electrnicos.

Vdeos de pginas de dudoso origen.
Actualizaciones de sistemas.
Programas, en principio, fiables como Windows o Adobe Flash.

https://es.wikipedia.org/wiki/Ransomware 1/6
11/11/2017 Ransomware - Wikipedia, la enciclopedia libre

Luego, una vez que ha penetrado en el ordenador, el ransomware se activa y provoca el bloqueo de todo el sistema
operativo, lanza el mensaje de advertencia con la amenaza y el importe del rescate que se ha de pagar para recuperar
toda la informacin. Adems, en ocasiones incluyen en la amenaza la direccin IP, la compaa proveedora de Internet
y hasta una fotografa captada desde la cmara web.4

Ataques ransomware ms conocidos

Reveton
En 2012 se comenz a diseminar un ransomware llamado "Reveton".5 Estaba basado en el troyano Citadel, el cual
estaba a su vez basado en el troyano Zeus. Su funcionamiento se basa en desplegar un mensaje perteneciente a una
agencia de la ley, preferentemente correspondiente al pas donde reside la vctima. Por este funcionamiento se lo
comenz a nombrar como "Trojan cop", o "polica troyano", debido a que alegaba que el computador haba sido
utilizado para actividades ilcitas, tales como descargar software pirata o pornografa infantil. El troyano muestra una
advertencia informando que el sistema fue bloqueado por infringir la ley y de ese modo deber pagar una fianza para
poder liberarlo, mediante el pago a una cuenta annima como puede ser Ukash o Paysafecard.

Para hacer creer a la vctima que su computador est siendo rastreado por la ley, se muestra la direccin IP del
computador en pantalla, adems se puede mostrar material de archivo y simular que la cmara web est filmando a la
vctima.

A principios del ao 2012 comenz su expansin por varios pases de Europa; segn el pas, podra variar el logo
referente a las Fuerzas de la Ley correspondientes. Por ejemplo, en el Reino Unido, contena el logo del Servicio de
Polica Metropolitana. Debido a estos sucesos, la Polica Metropolitana envi un comunicado informando que bajo
ningn concepto ellos bloquearan un computador ni siquiera como parte de una investigacin.

En mayo de 2012, Trend Micro descubri las variaciones de este malware para los Estados Unidos y Canad,
sospechando que los autores planeaban expandirlo a Amrica del Norte. En agosto de 2012, se comenz a utilizar el
logo del FBI para reclamar una fianza de 200 dlares a los propietarios de computadores infectados, a pagar mediante
una tarjeta de aMoneyPak. En febrero de 2013, un ciudadano ruso fue arrestado en Dubi por autoridades espaolas
debido a su conexin con la red criminal que haba estado usando Reveton, al cual se sumaron otras diez personas con
cargos por lavado de dinero.

En agosto de 2014, Avast report nuevas variantes de Reveton, donde se distribua software malicioso con el fin de
robar contraseas.

CryptoLocker
En septiembre de 2013 hizo su reaparicin el ransomware basado en el cifrado de archivos tambin conocido como
CryptoLocker, el cual genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran
archivos de un tipo de extensin especfica. El virus elimina la clave privada a travs del pago de un bitcoin o un bono
prepago en efectivo dentro de los tres das tras la infeccin. Debido al largo de la clave utilizada, se considera que es
extremadamente difcil reparar la infeccin de un sistema.

En caso de que el pago se retrase ms all de los tres das, el precio se incrementa a 10 bitcoins, lo que equivala,
aproximadamente, a 2300 dlares, en noviembre de 2013.

CryptoLocker fue aislado gracias a que incautaron la red GameoverZeuS, tal como fue anunciado oficialmente por el
Departamento de Justicia de los Estados Unidos el 2 de junio de 2014.

https://es.wikipedia.org/wiki/Ransomware 2/6
11/11/2017 Ransomware - Wikipedia, la enciclopedia libre

El Departamento de Justicia emiti una acusacin en contra del ciberdelincuente ruso Evgeniy Bogachev (
) alegando su participacin en la red GameoverZeuS. Se estima que consigui al menos tres millones de dlares
hasta que el malware fue desactivado.

CryptoLocker.F y TorrentLocker
En septiembre de 2014, una ola de ransomware lleg a sus primeros objetivos en Australia, denominados "CryptoWall"
y "CryptoLocker". Las infecciones se propagaban a travs de una cuenta de correo australiana falsa, la cual enviaba un
correo electrnico notificando entregas fallidas de paquetes.6 De este modo evitaba los filtros antispam y consegua
llegar a los destinatarios. Esta variante requera que los usuarios ingresaran en una pgina web y, previa comprobacin
mediante un cdigo CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta manera se
evit que procesos automticos puedan escanear el malware en el correo o en los enlaces insertados.6

Symantec determin la aparicin de nuevas variantes conocidas como CryptoLocker.F,7 el cual no tena ninguna
relacin al original debido a sus diferencias en el funcionamiento.

TorrentLocker es otro tipo de infeccin con un defecto, ya que usaba el mismo flujo de claves para cada uno de los
computadores que infectaba, el cifrado pas a ser trivial pero antes de descubrirse ya haban sido 9000 los infectados en
Australia y 11 700 en Turqua.8

CryptoWall
CryptoWall es una variedad de ransomware que surgi a principios de 2014 bajo el nombre de CryptoDefense dirigida
a los sistemas operativos Microsoft Windows. Se propaga a travs del correo electrnico con suplantacin de identidad,
en el cual se utiliza software de explotacin como Fiesta o Magnitud para tomar el control del sistema, cifrar archivos y
as pedir el pago del rescate del computador. El rango de precios se encuentra entre los 500 y 1000 dlares.

En marzo de 2014, Jos Vildoza, un programador argentino, desarroll una herramienta para recuperar los archivos de
las vctimas de manera gratuita. La recuperacin de archivos fue posible gracias a una falla en el programa malicioso
por el cual las claves de cifrado quedaban guardadas en el equipo afectado.9 10

Cuando los autores se percataron del error, actualizaron el criptovirus nombrndolo CryptoWall, pasando luego por
distintas actualizaciones hasta llegar a la versin 3.0.

CryptoWall 3.0 ha sido reportado desde enero de 2015 como una infeccin que surge donde hackers rusos se
encuentran detrs de esta extorsin.

TeslaCrypt
TeslaCrypt es uno de los ransomware considerados como eliminados ya que la clave maestra para el descifrado de los
ficheros atacados es pblica. Existe una herramienta gratuita de la empresa ESET que permite realizar este trabajo.11

Mamba
Un grupo de investigadores de seguridad de Brasil, llamado Morphus Labs, acaba de descubrir un nuevo ransomware
de cifrado de disco completo (FDE - Full Disk Encryption) esta misma semana, llamado "Mamba". Mamba, como lo
llamaron, utiliza una estrategia de cifrado a nivel de disco en lugar de uno basado en archivos convencionales. Para
obtener la clave de descifrado, es necesario ponerse en contacto con alguien a travs de la direccin de correo
electrnico proporcionada. Sin eso, el sistema no arranca.

https://es.wikipedia.org/wiki/Ransomware 3/6
11/11/2017 Ransomware - Wikipedia, la enciclopedia libre

El ransomware Mamba se ha identificado el 7 de septiembre 2017 durante un procedimiento de respuesta a incidentes

por parte de Renato Marinho, un experto en seguridad de Morphus laboratorios. Esta amenaza de malware utiliza el
cifrado a nivel de disco que causa mucho ms dao que los ataques basados en archivos individuales. Los
desarrolladores criminales han utilizado el DiskCryptor para cifrar la informacin., una herramienta de cdigo abierto.

Se hizo una comparacin con el virus Petya que tambin utiliza disco cifrado. Sin embargo, Petya cifra solamente la
tabla maestra de archivos (MFT) con lo que no afectan a los datos en s.

Tras la exitosa infiltracin, Mamba crea su carpeta titulada DC22 en la unidad C del equipo donde coloca sus archivos
binarios. Un servicio del sistema se crea y alberga el proceso del ransomware. Un nuevo usuario llamado MythBusters
se crea asociado con la contrasea 123456.

Tambin sobrescribe el registro de inicio maestro (MBR) del disco del sistema que contiene el gestor de arranque para
el sistema operativo. Esto prohbe efectivamente al usuario de incluso cargar el sistema operativo sin ingresar el cdigo
de descifrado.

WannaCry
WanaCrypt0r o tambin conocido como "WannaCry" es un ransomware "activo" que apareci el 12 de mayo de 2017
con origen en el arsenal estadounidense de malware Vault 7 revelado por Wikileaks pocas semanas antes, el cdigo
malicioso ataca una vulnerabilidad descrita en el boletn MS17-010 en sistemas Windows que no estn actualizados de
una manera adecuada. Provoc el cifrado de datos en ms de 75 mil ordenadores por todo el mundo afectando, entre
otros, a:

Rusia: red semafrica, metro e incluso el Ministerio del Interior;

Reino Unido: gran parte de los centros hospitalarios;
Estados Unidos;
Espaa: empresas tales como: Telefnica, Gas Natural e Iberdrola.
El ransomware cifra los datos que, para poder recuperarse, pide que se pague una cantidad determinada, en un tiempo
determinado. Si el pago no se hace en el tiempo determinado, el usuario no podr tener acceso a los datos cifrados por
la infeccin. WannaCry se ha ido expandiendo por Estados Unidos, China, Rusia, Italia, Taiwn, Reino Unido y Espaa,
al igual de que se seala que los sistemas operativos ms vulnerables ante el ransomware son Windows Vista, Windows
7, Windows Server 2012, Windows 10 y Windows Server 2016.

Un ordenador infectado que se conecte a una red puede contagiar el ransomware a otros dispositivos conectados a la
misma, pudiendo infectar a dispositivos mviles. A su inicio, WanaCrypt0r comienza a cifrar los archivos de la vctima
de una manera muy rpida.

Afortunadamente en la actualidad se pudo detener su expansin gracias a un programador de Reino Unido, autor del
blog MalwareTechBlog .12 13

Mitigacin
Al igual que ocurre con otras formas de malware, los programas de seguridad puede que no detecten la carga til
(payload) de un programa ransomware hasta que el cifrado de archivos est en proceso o ha concluido, especialmente
si se distribuye una nueva versin desconocida para el antivirus.14 Si un ataque se detecta de manera temprana, se
puede eliminar de manera sencilla sin darle tiempo de comenzar el proceso de cifrado.15 16

Expertos en seguridad informtica han sugerido medidas preventivas para hacer frente al ransomware. Usar software
o polticas de seguridad para bloquear cargas tiles conocidas ayudar a prevenir las infecciones, pero no proteger
contra cualquier ataque. Mantener copias de seguridad offline en lugares inaccesibles para el ordenador infectado,

https://es.wikipedia.org/wiki/Ransomware 4/6
11/11/2017 Ransomware - Wikipedia, la enciclopedia libre

como por ejemplo discos duros externos, evita que el ransomware acceda a ellas, lo que ayuda a restaurar los datos en
caso de infeccin.17 18 Sin embargo, la prevencin puede requerir altos recursos financieros y humanos a nivel
empresarial.19

Expertos en seguridad tambin han sealado que las pobres prcticas de administracin de informacin es una causa
importante del grave impacto de ransomware,20 y recomiendan entre otras medidas disminuir el uso de software
pirata o no legal.21

Vase tambin
Malware
CryptoLocker
Petya

Referencias
1. Virus: Ransomware bitcoins y mviles (http://virus.im/ransomware-bitcoins-y-moviles/). definicin. Consultado el
21 de enero de 2013.
2. A History of Ransomware Attacks: The Biggest and Worst Ransomware Attacks of All Time (https://digitalguardia
n.com/blog/history-ransomware-attacks-biggest-and-worst-ransomware-attacks-all-time). Digital Guardian. 21 de
marzo de 2017. Consultado el 3 de octubre de 2017.
3. McAfee: Cyber criminals using Android malware and ransomware the most (http://www.infoworld.com/t/security/
mcafee-cyber-criminals-using-android-malware-and-ransomware-the-most-219916). InfoWorld. Consultado el 16
de septiembre de 2013.
4. IIEMD, Instituto Internacional Espaol de Marketing Digital (15 de noviembre de 2016). Qu es Ransomware y
cmo Microsoft lo combatir (https://iiemd.com/que-es-ransomware/). https://iiemd.com/marketingdigital/.
Consultado el 15 de noviembre de 2016.
5. Virus: Ransomware (http://web.archive.org/web/https://en.wikipedia.org/wiki/Ransomware/). Ejemplos de
Ransomware. Archivado desde el original (https://en.wikipedia.org/wiki/Ransomware/) el 22 de noviembre de 2015.
Consultado el 29 de mayo de 2015.
6. Virus targets Australians via fake Australia Post emails (http://www.abc.net.au/news/2014-10-07/fake-auspost-e
mails-used-in-crypto-ransomware-attack/5795734). ABC News (en ingls australiano). 7 de octubre de 2014.
Consultado el 3 de octubre de 2017.
7. Cryptolocker: A Thriving Menace (https://www.symantec.com/connect/blogs/cryptolocker-thriving-menace).
Symantec Security Response. Consultado el 3 de octubre de 2017.
8. Over 9,000 PCs in Australia infected by TorrentLocker ransomware (https://www.cso.com.au/article/562658/over-
9-000-pcs-australia-infected-by-torrentlocker-ransomware/). Consultado el 3 de octubre de 2017.
9. Stung by file-encrypting malware, researchers fight back (http://pcworld.com/article/2142180/stung-by-fileencrypti
ng-malware-researchers-fight-back.html). Stung by file-encrypting malware, researchers fight back (en ingls) (PC
World).
10. Tucumano salva al mundo de un virus ruso (http://www.vo-ve.com/nota/13200-Tucumano-salv%C3%B3-al-mund
o-de-un-virus-ruso). Tucumano salva al mundo de un virus ruso (Vo-Ve Noticias).
11. Herramienta para el descifrado de ficheros atacados por TeslaCrypt (http://download.eset.com/special/ESETTeslaC
ryptDecryptor.exe).
12. How to Accidentally Stop a Global Cyber Attacks (https://www.malwaretech.com/2017/05/how-to-accidentally-sto
p-a-global-cyber-attacks.html). malwaretech.
13. How an Accidental Kill Switch Slowed Fridays Massive Ransomware Attack (https://www.wired.com/2017/05/ac
cidental-kill-switch-slowed-fridays-massive-ransomware-attack). www.wired.com.
14. Yuma Sun weathers malware attack (http://www.yumasun.com/news/local/article_f38f14e8-4f50-11e3-8165-0019
bb30f31a.html). Yuma Sun. Consultado el 18 de agosto de 2014.
15. Cannell, Joshua. Cryptolocker Ransomware: What You Need To Know, last updated 06/02/2014 (http://blog.malw
arebytes.org/intelligence/2013/10/CryptoLocker-ransomware-what-you-need-to-know/). Malwarebytes Unpacked.
Consultado el 19 de octubre de 2013.
16. Leyden, Josh. Fiendish CryptoLocker ransomware: Whatever you do, don't PAY (http://www.theregister.co.uk/201
3/10/18/cryptolocker_ransmware). The Register. Consultado el 18 de octubre de 2013.
17. Youre infectedif you want to see your data again, pay us $300 in Bitcoins (http://arstechnica.com/security/201
3/10/youre-infected-if-you-want-to-see-your-data-again-pay-us-300-in-bitcoins/). Ars Technica. Consultado el 23 de
octubre de 2013.
18. Cryptolocker Infections on the Rise; US-CERT Issues Warning (http://www.securityweek.com/cryptolocker-infecti
ons-rise-us-cert-issues-warning). SecurityWeek. 19 de noviembre de 2013. Consultado el 18 de enero de 2014.
https://es.wikipedia.org/wiki/Ransomware 5/6
11/11/2017 Ransomware - Wikipedia, la enciclopedia libre

19. Ransomware. Por qu es tan difcil de combatir? (http://www.usuariomalicioso.com/2016/07/ransomware-por-q

ue-es-tan-dificil-de.html). www.usuariomalicioso.com. Consultado el 3 de octubre de 2017.
20. Responsabilidad compartida (http://www.usuariomalicioso.com/2017/07/responsabilidad-compartida.html).
www.usuariomalicioso.com. Consultado el 3 de octubre de 2017.
21. Chile entre los pases latinoamericanos con menos piratera en software (http://www.innovacion.cl/2016/06/chile-
entre-los-paises-latinoamericanos-con-menos-pirateria-en-software/). innovacion.cl. Consultado el 3 de octubre de
2017.

Enlaces externos
Nstor Parrondo, La estafa del correo electrnico de Correos: si picas, tu ordenador quedar inutilizado (https://es.
finance.yahoo.com/blogs/fintechnologiayredeses/la-estafa-del-correo-electr%C3%B3nico-de-correos--si-picas--tu-o
rdenador-quedar%C3%A1-inutilizado-145042867.html), sitio digital 'Yahoo', 30 de marzo de 2015.
Asociacin Nacional Afectados Internet y Nuevas Tecnologas (http://www.asociacionafectadosinternet.es/platafor
ma-de-afectados/plataforma-virus-de-la-policia/), Ayudan a recuperar tu dinero estafado.
http://bestsecuritysearch.com/mamba-ransomware-discovered/, Blog de seguridad
Servicio pblico y gratuito antiransomware de INCIBE (https://www.incibe.es/protege-tu-empresa/herramientas/ser
vicio-antiransomware), Ayudan a descifrar la informacin e informan sobre medidas de prevencin para no verse
afectado.

Obtenido de https://es.wikipedia.org/w/index.php?title=Ransomware&oldid=103278990

Se edit esta pgina por ltima vez el 9 nov 2017 a las 13:21.

El texto est disponible bajo la Licencia Creative Commons Atribucin Compartir Igual 3.0; pueden aplicarse clusulas
adicionales. Al usar este sitio, usted acepta nuestros trminos de uso y nuestra poltica de privacidad.
Wikipedia es una marca registrada de la Fundacin Wikimedia, Inc., una organizacin sin nimo de lucro.

https://es.wikipedia.org/wiki/Ransomware 6/6