Hasta ahora, los métodos más usuales para la expansión del Ransomware han sido la descarga de programas no oficiales y el envío de archivos, generalmente de texto, de los hackers al correo electrónico de la víctima. Y una vez que esta ejecuta tales archivos, aparece la famosa pantalla negra indicando que has sido hackeado e incluye las instrucciones para pagar el rescate con bitcoins, si es que quieres recuperar tus archivos.
Pues bien, por desgracia, parece que ahora debemos estar atentos a un nuevo vector infeccioso: las redes sociales. Según una investigación de la compañía de software y ciberseguridad CheckPoint, los atacantes han encontrado la forma de adjuntar código malicioso a un archivo de imagen que luego suben a redes como Facebook y LinkedIn, las cuales hasta ahora no poseían filtros para esto. Y una vez que el usuario da click en descargar la imagen adquiere este nuevo tipo de Ransomware que ha sido llamado ImageGate.
Pero este no es el único ransomware esparcido mediante imágenes: Locky también ha evolucionado en esta nueva variante. Este se trata de un malware que codifica todos los archivos bajo la extensión .locky, incluyendo las carteras de criptomonedas almacenadas en el dispositivo, por lo que en muchas ocasiones las víctimas prefieren pagar de 0,5 a 1 BTC para poder recuperar los datos secuestrados. Generalmente, su modo de expansión solía darse mediante documentos adjuntos en correos electrónicos, pero una reciente ola de infección en Facebook ha probado que ahora se comporta de forma muy similar al ImageGate.
En este caso, el usuario recibe un mensaje automático (que parece provenir de cualquier amigo) con un archivo de imagen tipo SVG, es decir, al que se le puede adjuntar cualquier contenido. Por ello, al abrir el archivo se le muestra al usuario una ventana que contiene un complejo script y se le redirecciona a un sitio que pretende ser YouTube, solicitándole que instale una nueva extensión en Chrome para ver el vídeo. Y tras dar los permisos, se adquiere el Locky.
Cómo protegerse de este nuevo Ransomware
Para empezar, los equipos de seguridad de Facebook y Google ya han sido informados, por lo que la extensión de Chrome ha sido removida de la tienda y los archivos SVG ahora son filtrados en la red social. Sin embargo, si se recibe algún archivo inusual (con extensiones JS y HTA, por ejemplo) lo mejor es eliminarlo de inmediato sin abrirlo, especialmente si tu amigo no ha escrito nada en el adjunto.
Además, asegúrate de que cualquier archivo (sea de texto, de ejecución o de imagen) que abras provenga de una fuente confiable. Por otro lado, si has llegado a instalar alguna extensión de Chrome sospechosa, lo mejor es eliminarla yendo al menú del navegador. Y la recomendación estándar es siempre cambiar las contraseñas periódicamente, escanear el ordenador todos los días con un buen antivirus y guardar una copia de seguridad fuera del dispositivo y de la red enlazada a éste.
Por otro lado, si ya es demasiado tarde para la prevención, siempre se recomienda no pagar el rescate. En el sitio No More Ransom, una iniciativa conjunta entre órganos policiales y compañías de ciberseguridad, se pueden encontrar varias herramientas a descargar de forma gratuita para quitar el cifrado y recuperar los archivos. Antes de ceder ante los atacantes y demostrar que el ransomware puede darles ganancias, siempre se debe acudir con un experto.
