Seguridad

Detectado un nuevo ransomware que se esconde en archivos de Office

Un nuevo ransomware que se propaga por correo electrónico, utiliza las macros de Office para cifrar toda la información del equipo antes de exigir un rescate.

El ransomware es, sin duda, una de las fórmulas favoritas de los ciberatacantes a la hora de comprometer equipos de forma remota. Su forma de actuar es muy simple: acceder a un equipo, secuestrar la información y pedir un rescate al usuario para recuperar sus datos. Al margen de los motivos a favor y en contra de pagar a este tipo de delincuentes, lo cierto es que estos hackers idean nuevas ideas a diario para seguir infectando ordenadores por doquier.

La última campaña de ransomware que se ha detectado en nuestro país, llamado Cerber, usa el correo electrónico como mecanismo de entrada y la suite ofimática Microsoft Ofice 365 como puerta de infección para cifrar todos los archivos del equipo. Según indica la OSI, recogiendo una investigación de The Hacker News, los correos fraudulentos detectados tienen adjunto un archivo que puede ser un fichero comprimido o un archivo de la suite de Microsoft con macros (programa que se ejecuta al abrir el documento) como puede ser, por ejemplo, una extensión .docm.

Una vez que el usuario descarga el archivo malicioso, hay dos posibles vías de infección. Por un lado, en el caso de que el usuario tenga las macros habilitadas, automáticamente el ransomware se activará la siguiente vez que el usuario reinicie el ordenador. La segunda, cuando el virus encuentra que las macros estén bloqueadas, es invitando al usuario a que abra el archivo y dé permisos a su edición, abriendo así el canal para que los hackers puedan cifrar todos los archivos.

Cuando se ejecuta, cifra ficheros del ordenador tipo .jpg, .doc, .raw, .avi, etc. y los añade la extensión «.cerber». Después, crea tres tipos de archivos diferentes en cada carpeta que contenga archivos cifrados llamados #DECRYPT MY FILES# en extensiones .txt, .html y .vbs con instrucciones paso a paso para, supuestamente,  liberarlos en un plazo de tiempo.

Cerber ransomware

Las instrucciones indican cómo pagar el rescate y amenazan diciendo que de no hacerse efectivo en el tiempo estipulado, se duplicará el precio. Además de cifrar los archivos, el malware toma control del sistema de audio del equipo para leer a la víctima la solución para el supuesto descifrado de los archivos.

¿Qué hacer si hemos sido infectados?

Lo principal ante un ataque por ransomware es la prevención. Dicho de otro modo: no abrir correos electrónicos de desconocidos, no pinchar en sus enlaces o no descargar archivos sospechosos de nuestro email. Son consejos básicos que, unidos a las funciones de protección predeterminadas de Microsoft Office, bastarían para evitar entrar en el juego de los ciberdelincuentes.

El ransomware Cerber puede eliminarse con cualquier antivirus del mercado, aunque es probable que se borren algunos de los datos que han sido cifrados. Por ello, es recomendable clonar la información antes de pasar el antivirus, así como recuperar los datos a través de copias de seguridad externas o en la nube. Desde la OSI no recomiendan pagar ya que “se trata de estafadores y no existe ningún tipo de garantía de recuperar los datos una vez efectuado el pago”.  Eso sí, este organismo propone poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado: http://www.osi.es/es/reporte-de-fraude 

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.