¿Sabes qué es Cryptolocker y cómo afecta este virus a los ordenadores que infecta? Existen diferentes tipos de softwares maliciosos. Los ransomwares son una especie de malwares que encriptan todos o algunos de los ficheros de los ordenadores infectados. El término proviene de la palabra ransom, que significa “rescate” en inglés, porque dichos malwares le exigen a la víctima una suma de dinero a cambio de la clave para descifrar sus archivos. En este post, hablaremos de qué es Cryptolocker, un peligroso ransomware que se desplegó en el año 2013 por diferentes medios de propagación.
¿Qué es Cryptolocker?
Cryptolocker es un ransomware troyano que fue descubierto a finales de 2013. Fue diseñado para atacar al sistema operativo Windows y se propagó vía correo electrónico o de manera remota por el puerto 3389.
Este malware cifra archivos con extensiones de Microsoft Office, OpenDocument, AutoCAD e imágenes. Utiliza un sistema de cifrado de clave pública, RSA de 2048 bits, y guarda la clave privada en un servidor secreto.
A cambio de desencriptar los archivos, los delincuentes solicitaban un rescate de aproximadamente 300 dólares en bitcoins. El pago debía realizarse dentro de un plazo de 72 a 100 horas o sino la clave privada se destruiría dejando los archivos inutilizables.
No obstante, los desarrolladores de Cryptolocker decidieron ofrecer un rescate más costoso para aquellos que dejasen vencer el plazo, que les permitiría a las víctimas desencriptar sus archivos sin necesidad de la clave privada del algoritmo.
Supuesto creador
Ya has aprendido qué es Cryptolocker, pero nos falta mencionar quién fue su creador. A pesar de que muchos malwares son creados de manera anónima y nunca se descubre su autor, el FBI señaló a un hombre ruso, de 31 años, llamado Evgeiny Bogachev por haber distribuido este ransomware y otros virus, como el GameOver ZeuS.
¿Cómo funcionaba Cryptolocker?
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaYa hemos visto qué es Cryptolocker y, ahora, hablaremos sobre cómo se esparcía y afectaba a los usuarios.
Propagación
En primer lugar, veremos cuáles eran sus dos vías principales de propagación:
- Propagación por correo electrónico: el virus Cryptolocker utilizaba campañas de ingeniería social para llegar a los usuarios. Es decir, se difundía por medio de correos electrónicos que se hacían pasar por los de una compañía legítima. De ese modo, las víctimas descargaban un archivo adjunto ZIP que contenía un ejecutable disfrazado de archivo PDF. Este fichero podía contener el virus Cryptolocker, pero también el troyano Zeus, que descarga el ransomware.
- Propagación vía virus troyanos: algunos malwares troyanos, como Zeus, cumplen con la función de descargar el ransomware Cryptolocker. Otra estrategia para difundir este malware fue la de engañar a los usuarios y hacerles creer que estaban instalando algún tipo de aplicación. Sin embargo, además de dicha aplicación, el virus se conectaba a una botnet y descargaba el ransomware en el ordenador.
Método de cifrado
Ahora sabes qué es Cryptolocker y cuáles eran sus dos vías de propagación. A continuación, explicaremos qué método utilizaba para cifrar los archivos de la víctima y cobrar el rescate por la clave.
El ransomware Cryptolocker se instala en la carpeta de Documentos con un nombre que varía de forma aleatoria. Luego, establece persistencia en el ordenador para que se ejecute el programa cada vez que se encienda el dispositivo. Después, el ransomware se conecta a un servidor oculto que genera una clave pública y una privada por medio de un sistema de cifrado RSA de 2048 bits.
De este modo, el malware cifra todos los archivos con la clave pública que crea para el ordenador y oculta la clave privada en un servidor desconocido. A cambio de dicha clave, los atacantes exigen una suma de 300 dólares en bitcoins.
Al cabo de un lapso de 72 a 100 horas, el servidor oculto está programado para destruir la clave privada de la víctima. De este modo, todos los ficheros quedan inutilizables y las organizaciones pueden experimentar pérdidas por millones de dólares a causa de esto. No obstante, se desaconseja pagar el rescate, ya que esto promueve el uso de los ransomwares y, en la mayoría de casos, las víctimas nunca obtienen las claves de regreso.
El ataque de Cryptolocker llegó a ser tan sofisticado que, una vez destruida la clave privada de la víctima, los delincuentes ofrecían un servicio extra para desencriptar los archivos. Para ello, redirigían a las personas a sitios web donde podían pagar sumas mucho mayores por dicha función.
¿Cómo evitar el ransomware Cryptolocker?
Por último, tras hablar sobre qué es Cryptolocker y todo lo que implica, debemos mencionar cómo evitarlo.
En primer lugar, para evitar el ransomware Cryptolocker es necesario conocer sus medios de propagación, que ya te hemos explicado. Aprender a identificar los enlaces, anuncios y ficheros maliciosos es una herramienta necesaria para evitar estos ciberataques. A nivel de organizaciones, es recomendable capacitar a los empleados. Adicionalmente, se recomienda el uso de softwares de seguridad, como antimalwares y antivirus, que pueden identificar por ti estos programas maliciosos.
¿Cómo aprender más?
Ahora sabes qué es Cryptolocker, cómo funciona y cuáles son sus medios de propagación, pero esto es solo una pequeña parte de todo lo que implica esta rama del sector IT. Si quieres aprender más sobre malwares y ciberseguridad, aquí tenemos el curso de especialización ideal para ti. No dudes en acceder a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un experto en menos de 7 meses. ¡Inscríbete ya y triunfa en el sector tecnológico!