Crónica de un ataque con Ransomware y consejos para evitarlos
El problema que no ves, hasta que es demasiado tarde
Este posteo no tendrá ninguna relación con la película donde aparecía Ricardo Darín en uno de sus varios relatos... Pero, definitivamente, se va a ir poniendo algo más complicado, hasta alcanzar un punto álgido.
El mayor problema que podemos tener en nuestra PC es cuando se trata de perder todos nuestros archivos, sin poder recuperarlos, y esa es una posibilidad que está muy vigente en estos días, en los que mucha gente trata de solucionar las fallas por su cuenta, sin los recaudos necesarios para evitar los riesgos potenciales.
Te anticipo que vas a tener que leer bastante, pero es una crónica exacta y detallada de cómo fueron los hechos.
• En azul, el paso a paso de cómo se genera una infección de virus.
• En rojo, los errores humanos que pudieron ser evitados.
• En verde, las recomendaciones a seguir para proteger tu Windows y archivos de estas amenazas, como de otras.
(No aplica al usar el Modo oscuro)
Una situación en la que cualquiera puede caer
Las desventuras de esta mujer comienzan cuando por un problema ajeno a su PC, debe moverla temporalmente de su lugar habitual, para luego reubicarla. Hasta ese momento, todo en su PC funciona normal, ya que fue apropiadamente instalada y configurada hace unos meses.
Una vez que soluciona el problema del que no se necesitan más detalles, enciende su computadora, pero ésta no carga Windows; aparece la pantalla negra con una leyenda igual a la siguiente imagen, en la que le pide reiniciar su equipo y conectar un disco duro con Windows o configurar el inicio adecuadamente.
En resumidas cuentas, la PC no está reconociendo su disco duro, no lo está detectando.
Hasta ahora y en apariencia, el disco tiene problemas
Para casos como estos, suelo recomendar contactarme para pedir ayuda o al menos indicaciones sencillas
Como haríamos cada uno de nosotros, ella apaga y prende su equipo reiteradas veces hasta que, en un momento, la máquina logra detectar la presencia del disco.
Como es normal, cuando Windows detecta problemas en su inicio, se corta la luz, o se apaga sin haber seguido los pasos correspondientes; el mismo sistema nos ofrece "Iniciar la reparación de inicio" -para auto-repararse o restaurarse- o "Iniciar Windows normalmente".
Ella, sin el asesoramiento adecuado, elige la opción de "Iniciar la reparación de inicio".
Opta por restaurar Windows. Lo que significa que el sistema por sí mismo volverá a un estado anterior, en el que se deshace del trabajo realizado meses antes por quien les escribe. Borra algunos de los programas que habían sido instalados; elimina controladores como los de la antena de Wifi, por ejemplo; y desconfigura el sistema en general.
Luego de este proceso, logra iniciar Windows y se encuentra con esta situación, un Windows pelado, súper limitado y prácticamente sin nada. Por lo que toma la iniciativa de reinstalar ella misma los programas que ya no están, sin realizar una consulta técnica o pedir asesoramiento todavía.
Sin mayor problema, logra reinstalar el controlador de Wifi, que es el componente clave para que la antena conectada por USB, reciba señal de internet.
Paso a paso de un ataque masivo
Una vez conectada a internet, comienza a instalar otros programas que utiliza regularmente.
El navegador Mozilla no funciona, por lo que utiliza la vieja versión de Internet Explorer y, lamentablemente, acepta la recomendación de Microsoft, de descargar su navegador Edge.
Llegado el momento de recuperar el programa de ofimática favorito, ingresa a una página de descargas.
El navegador Edge instalado como viene, de serie, carece de personalización y bloqueador de publicidad, lo que deja vulnerable a los usuarios al contacto con la inmensa cantidad de publicidad engañosa y molestias varias con la que se mantienen los sitios web, ya sea publicidad como la de Google, Adsense, o empresas que distribuyen contenido peligroso.
Sin tener en cuenta lo antes mencionado, la dueña del equipo ingresa a la página de descargas, y se encuentra con muchos botones que invitan a "Descargar", "Descargar ahora", "Descargar Gratis", "Download Now", a los que, de a uno, les hace clic, guarda cada archivo y los ejecuta, porque, aparentemente, al tratar de iniciarlos, éstos no iniciaban.
No la culpo en absoluto: hay demasiados carteles falsos y muchos son muy convincentes y es por eso que recomiendo enfáticamente, usar uBlock para bloquear e invisibilizar la publicidad, engañosa o genuina; como sea, pero sacarla de nuestro alcance.
Botones similares a estos abundan en las páginas de descarga, cuando no se usa un bloqueador de publicidad
En este momento, un virus de tipo ransomware se ejecuta sin que ella lo sepa y comienza con el trabajo para el que fue diseñado.
Se encarga de encriptar, bloquear, codificar, cifrar, "secuestrar" todos los archivos personales alojados en su equipo, como imágenes, videos, documentos de texto, PDF, etc.
La siguiente acción del virus es copiar en cada carpeta un archivo titulado "Readme.txt", en el que el delincuente, detrás de este software, le explica que sus archivos han sido cifrados; que no podrá acceder a ellos hasta que pague el rescate; que le ofrece desencriptar / desbloquear sólo un archivo a modo de prueba; que le ofrece un descuento si accede a abonar el costo dentro de las 72 horas; etc. Al final del texto le deja un e-mail temporal para contactarlo.
A esta altura, lo que debe hacer, es apagar su equipo y llamar a su técnico de confianza, en este caso yo, y no sería mayor problema, ya que ella guarda una copia de todo lo importante, incluido el contenido de su PC, en un dispositivo externo y offline -desconectado-. En resumidas cuentas, tiene sus archivos seguros.
Con la reinstalación de Windows, para una limpieza completa y segura, sólo hubiera sido un susto y una buena enseñanza para futuras ocasiones. Pero acá no termina.
Sin contactarme aún y con la intención de recuperar los archivos a los que no puede acceder, conecta el mencionado disco externo y en este momento es cuando el virus bloquea también todos los archivos alojados en él.
Es recién ahora que se pone en contacto conmigo para pedir ayuda.
Contacto con el equipo infectado
Utilizando mis servicios a distancia, en pocos segundos me doy cuenta en qué tipo de problemas estaba su dueña.
Carteles en la pantalla, que por más que los cierre, vuelven a aparecer; archivos personales que al principio están disponibles, luego de un rato quedan igual que el resto; al abrir el Administrador de tareas, se puede ver varios procesos ajenos a Windows o programas conocidos, pero que tienen nombres similares sólo para confundir, como 40k.exe, linda.exe, y varios más. Y por supuesto, el archivo .txt replicado en cada carpeta.
Los seleccionados en azul son los archivos del virus que se inician con Windows
Luego de confirmar esto, le indico que esto no se puede solucionar a distancia y que la mejor opción es guardar los archivos en un medio limpio, reinstalar el sistema y dejarla en perfectas condiciones, porque por más que pudiera quitar los archivos y procesos maliciosos, es muy posible que queden rastros inactivos del virus, que pudieran activarse a futuro. Y para más tranquilidad y siguiendo mi filosofía de trabajo, la mejor opción es empezar de cero.
Respecto a la recuperación, o mejor dicho descifrado, de los archivos le comento desde el principio que, desde mi parte, no le puedo garantizar el éxito en esa tarea, porque éstas están fuera de mi área de trabajo y conocimiento, pero que haré todo lo posible por buscar la manera de ayudarla, para evitar recurrir a servicios que se dedican a esto -y más costosos- y, mucho menos, pagarle a un delincuente.
Todo lo que intenté para recuperar sus archivos, no funcionó.
Al intentar buscar archivos borrados del disco externo, sólo se encontró una decena entre miles de irrecuperables.
Descargué una aplicación que se encarga de quitar el cifrado de los archivos con extensión .fate, pero tampoco hubo caso.
Busqué bastante más información en internet, pero terminé en un callejón sin salida.
En resumen, el equipo fue reinstalado desde cero, sus archivos fueron ubicados en el mismo disco que había sido afectado, en espera de alguna solución efectiva.
Errores humanos que pudieron ser evitados
Al principio, la PC no reconocía el disco.
Para conocer el origen de esta falla habría sido necesario revisarla en ese momento. Cuando la revisé noté que la placa madre mostraba ciertas fallas, las cuales también le comuniqué a la dueña.
• Utilizar la opción de "Iniciar Reparación de Inicio".
Lo que hay que hacer cuando sucede eso es elegir "Iniciar Windows normalmente"
• Restaurar Windows, lo que elimina gran parte del trabajo realizado.
Esto no era necesario.
• Tratar ella misma de reinstalar los programas borrados.
Como técnico le hubiera ofrecido realizar el trabajo a distancia, en 1 hora o poco más y por poco dinero, hubiera estado lista.
• Ingresar a páginas de descargas sin bloqueador de publicidad.
Me había comentado que intentó instalar un Office que ya tenía en su disco, pero al no funcionar, se vio obligada a buscar en internet.
• Al no tener un bloqueador, ser confundida por tantos botones falsos de descarga.
Hacer clic en esos botones puede devenir en cualquier tipo de problema para nuestras computadoras, desde Ransomware hasta programas espías o llenar el equipo de varios programas basura, que cuesta demasiado eliminar.
• Por último, anular la única oportunidad de salvar todos sus archivos, al conectar su disco externo a la PC infectada.
A esta altura ya no hay mucho que hacer para un usuario o para un técnico convencional, teniendo que intervenir en el asunto gente especializada en estas amenazas modernas.
Consejos para evitar ataques de Ransomware
Esta situación me obligó a crear este posteo para alertar no sólo a mis clientes, sino a toda aquella persona que tiene una PC, gusta de la lectura y necesita conocer métodos para proteger sus archivos personales.
Al darme por vencido y no poder llegar a buen puerto, le expliqué a la dueña del equipo que por más que yo comenzara a leer e informarme sobre el tema, no podría convertirme en experto en este tema en un par de días, yo soy experto en lo que a instalación u optimización de Windows se refiere; por lo que le recomendé consultar con gente dedicada a estos temas, como programadores o ingenieros en software, especializados en seguridad.
• No abrir enlaces en páginas de descargas, si no se está seguro que el mismo nos enviará al sitio de la descarga requerida y segura.
• Si el enlace nos lleva a una página de descargas, cuidado al momento de abrir el archivo descargado. Escanear el mismo con un antivirus o con la página virus total.
• Usar un bloqueador de publicidad para, justamente, quitar, borrar, no ver la publicidad molesta y no molesta.
• Mi recomendación es uBlock, el cual utilizo y recomiendo desde hace muchos años. Arranqué usando Adblock, pero con el tiempo permitía algunas publicidades, por lo que decidí cambiarlo por uno más estricto, y efectivo para nosotros.
• Cuando nos llega un e-mail, no dar clic en ningún enlace ni imagen, por más que usen la excusa que sea, siempre y cuando no sea algo requerido por nosotros o de una fuente oficial.
• Es necesario que revises la dirección de correo para descartar o confirmar que el remitente es verdadero.
• Si dice bancopatito@hotmail.com, bancopatito@special.link o similares, es una estafa.
En cambio, si dijera info@bancopatito.com, en este caso estamos frente a un correo veraz.
• Cuando luego del símbolo @ aparece el nombre de la entidad, se trata de un e-mail que fue enviado por la misma. @youtube.com, @mercadolibre.com, @skypc.com.ar, etc.
Ejemplo 1
>>>E-mail verdadero: info@skypc.com.ar
>>>E-mail falso: info-skypc@hotmail.com.ar
Ejemplo 2
>>>E-mail verdadero: info@bancoseguro.com
>>>E-mail falso: bancoseguro@gmail.com
Estos delincuentes imitan a la perfección los correos electrónicos de entidades bancarias.
• No abrir ni descargar archivos adjuntos, si no se conoce al remitente.
• No colocar pendrives ni otros dispositivos de almecenamiento en computadoras públicas, o que ni siquiera cuenten con antivirus.
Un antivirus puede hacer poco y nada frente a algunas amenazas, pero si ni siquiera dispone de uno, seguramente será aún más peligroso usar ese equipo.
• Es necesario aclarar que en cualquier ámbito, no abrir archivos que terminen con extensiones "archivo.exe", si es que no se trata, efectivamente, de un programa. Y mucho menos si la extensión es "archivodeimagen.jpg.exe", ya que éstos parecen ser archivos de imágenes y en realidad se trata de un archivo ejecutable, que muy posiblemente contenga algún tipo de virus.
archivo.jpg = imagen
archivo.mp3 = música
archivo.mp4 = video
archivo.png = imagen
archivo.lnk = acceso directo
archivo.exe = ejecutable / programa
• Revisar la legitimidad de los accesos directos, viendo la dirección hacia donde apuntan, haciendo clic derecho sobre el mismo, luego Propiedades y en la ventana que se abre, "Abrir ubicación".
• Un consejo que no suele gustar a muchos, es aprender y leer bastante sobre cómo funcionan los virus informáticos. O al menos ver videos en Youtube, aunque hay muchos expositores, con menos o con más suscriptores, que no tienen la información demasiado clara.
Aclaro que no me refiero a temas de virus o problemas de ransomware, sino a temas en general.
• Otro consejo en el que pongo especial énfasis es, ante cualquier problema o situación extraña, por más ridícula que parezca, contactar al técnico de confianza.
Si el técnico considera sus consultas como molestas, entonces sería mejor buscar otro.
• No creer, por más que "los que saben" lo digan, que teniendo Windows 10/11 vas a estar más seguro que con Windows 7. Yo utilizo, recomiendo e instalo Windows 7 por su simpleza, rendimiento y versatilidad.
• Tener uno o más discos externos con las copias de nuestros archivos valiosos, actualizados regularmente, es una buena manera de protegerlos.
• Como ya lo he aclarado en otras de mis recomendaciones, no es muy buena idea confiar plenamente en servicios de la nube, por los motivos explicados en el post correspondiente.
• Y, por último, el mejor antivirus es el sentido común, hay que entrenarlo para que no se estropee.
