Hace ya algunos años, a mediados del 2014, tuve una experiencia con el famoso Criptolocker, un ransomware de tipo troyano, en mi caso ha llegado a ser muy negativo, pero a la vez positivo, en este artículo os contare la parte positiva de sobrevivir a un virus tan agresivo.
En este relato comienzo contando los orígenes y procedencia y cómo infecta los equipos, más tarde como combatirlo y mis impresiones finales en tal suceso.
Este famoso virus nace en 2013 y procede de hackers de Corea del Norte, su mecanismo de infección es penetrando en tu sistema a través de email con procedencia de envío “Correos”. La suplantación de identidad es tan perfecta que motiva al receptor a descargar el fichero .zip adjunto en el mismo.
Una vez el usuario ejecuta el zip, el criptolocker infecta el equipo y comienza en cuestión de segundos a encriptar todo el contenido, empezando por los archivos del propio usuario y continuando al resto del disco duro y unidades de red compartidas.
En mi experiencia para subsanar debemos seguir los siguientes pasos: primero, reiniciar la máquina que ha sido infectada, con esto el virus se detiene y lo siguiente reiniciar en “modo seguro”, en este punto no tenemos más remedio que analizarla y desinfectarla con MalwareBytes u otro sistema antimalware, y el propio antivirus actualizado que tenga la misma.
Una vez desinfectada, llegamos al paso de comprobar todo lo que ha sido encriptado, haremos búsquedas con criterios para localizar todos los ficheros con extensiones “.decrypted”, “.encrypted”, “.crypted”, “.locky”. Una vez localizados tendremos constancia de todos los ficheros que han sido infectado y es entonces cuando tendremos que recurrir al sistema backup para recuperar todo aquello que ha sido infectado y en este caso encriptado.
Si tu solución de backup no cubre adecuadamente tus expectativas, por tiempo o volumen, en este caso tu única posibilidad sería pagar la cuota que solicitan los hackers en Bitcoins, para recuperar tu perdida. Una medida que en realidad está profundamente desaconsejada por los expertos en ciberseguridad.
Este es el ciclo de infección y desinfección del Criptolocker hasta día de hoy, ya que como todos conocemos en el futuro es muy probable que estos hackers busquen otros agujeros para seguir haciendo dinero.
Cuando mencione al principio que para mí fue muy negativo y a la vez positivo, en este sentido me refería a mi experiencia como administrador de sistemas, la cual muchos de nuestros clientes sufrieron la infección del Criptolocker, virus que, desconociéndolo en su día, tuvimos que aprender a localizarlo, detenerlo, curarlo y solucionarlo en todos ellos.
Fueron unos malos tiempos a nivel profesional, trataba con clientes que disponían de sistemas de antivirus y no entendían cómo podían ser vulnerados tan bruscamente, siendo para mí muy complicado darles una explicación y asesoramiento adecuado.
El cliente en algunos casos, agonizaba con recuperaciones eternas que en algunos casos superaban hasta la semana.
Como lecciones aprendidas a nivel personal y profesional, he interiorizado el trato a mantener con los clientes en situaciones límites, manteniendo la coherencia y la serenidad para resolver de forma satisfactoria el caos provocado por el virus y además a recopilar el plan a seguir para solventar la crisis.
Mis conclusiones, en este sentido, es que no podemos prescindir de un sistema de backup eficaz, 100% recomendable, necesario, y obligatorio, ya que no sabemos el día de mañana por donde pueden atacar a nuestra información, siendo la prevención y seguridad en el mundo de la tecnología lo más prioritario que se debe de tener.
Actualmente, he pasado de ser de Técnico de Sistemas a Técnico especialista en sistemas de Backup y Distaster Recovery en ValoraData, aportando a nuestros clientes soluciones que protejan de forma más eficaz sus valiosos datos.
Escrito por Borja Bermejo, Técnico de Servicios Digitales de ValoraData