A Ranscam le da igual que pagues el rescate

13 Jul 2016

Cuando te afecta un ransomware, es normal que te preguntes si valdría la pena pagar el rescate para recuperar tu vida electrónica con la menor molestia posible. En Kaspersky Lab no siempre te recomendamos que pagues el rescate, y en el caso del nuevo ransomware llamado Ranscam, ni te lo plantees: te borra los archivos hagas lo que hagas.

ranscam-min

Threatpost amplía la información del nuevo malware y destaca que, en comparación con la eficiencia de los últimos ransomware, Ranscam parece ser perezoso o poco competente. Un martillo entre bisturíes.

Por desgracia, un martillo es un arma bastante destructiva. Mientras que el objetivo del ransomware más sofisticado es sacarles el dinero a sus víctimas para quizá luego restaurar sus archivos o los archivos del sistema que cifró durante el ataque, Ranscam es solo un scam (estafa, en español).

Cómo funciona Ranscam

Lo primero que los usuarios verán una vez el malware se haya infiltrado en sus sistemas es la nota de rescate. Se parece a las notas de rescate de otros tipos de ransomware, pero con una pequeña diferencia. En lugar de dirigir a los usuarios a una ubicación externa donde deben verificar el pago del rescate, esta nota tiene un botón clicleable: “He realizado el pago. Verifíquelo, por favor.”

RansomNote

 

En realidad, la diferencia es muy importante. Cuando un usuario haga clic en el botón, aparecerá un mensaje que informa de que no se ha verificado el pago y que se borrará un archivo cada vez que se haga clic en el botón sin haber pagado a los creadores de Ranscam. Seguramente es para poner nerviosos a los usuarios y así persuadirlos de que paguen.

La verdad es que se trata de un farol, pero no son buenas noticias para la víctima. El ransomware afirma que ha movido los archivos de la víctima a una “partición cifrada y oculta”, pero en realidad los había borrado antes de mostrar el mensaje de rescate. Así que no hay forma de recuperarlos.

Como explican los investigadores de Cisco’s Talos Security Intelligence y de Research Group, el hecho de que simplemente borren los archivos significa que los delincuentes no necesitan aprender los puntos clave del cryptoblocking y el locking.

A día de hoy, no se ha asociado a Ranscam con ningún ataque importante, este solo sirve como recordatorio de que pagar el rescate puede ser inútil (además de que el pago del rescate refuerza la idea de los criminales de que el ransomware es una buena forma de ganar dinero).

Es imposible recuperar los archivos que Ranscam ha borrado. La única forma de protegerte es ser proactivo. Así que te recomendamos seguir unos sencillos pasos:

  1. No abras archivos adjuntos ni hagas clic en enlaces sospechosos. No se sabe demasiado acerca de cómo se difunde Ranscam, pero los sospechosos habituales son los archivos adjuntos en e-mails y páginas web maliciosas o hackeadas. Así que, si no estás 100 % seguro, no hagas clic.
  2. Haz copias de seguridad a menudo y guárdalas en un dispositivo sin conexión. Si algún ransomware cifra o borra tus archivos, no habrá problema porque tendrás copias.
  3. Utiliza una solución antivirus fiable. Kaspersky Internet Security detecta Ranscam con el nombre de Trojan-Ransom.MSIL.Agent e impide que el ransomware les haga nada a tus archivos.