sábado, 22 de junio de 2013

Ransomware.- ¿Que es? ¿Como funciona?

Os he hablado hasta la saciedad del malware y de lo que podría pasar si alguien decidiera hacerse con el control de vuestros equipo. Pero en algún momento, alguien decidió llevar el negocio del malware a la extorsión pura y dura.  Se pasó del negocio "invisible" (ya sabéis que si fotos tomadas desde la webcam, email, información derivada, cuantas bancarias, etc.) a un modelo de "paga para que te descifre tus archivos los cuales he cifrado". Para poner un ejemplo voy a citar al ya popular "virus de la Policia" el cual te bloqueaba el acceso con un pantallazo, muy bonito, diciéndote que habías visto un montón de pornografía, zoofilia y esas cosas horrorosas y que tenias que pagar una multa para poder tener acceso a tu contenido. 


El Ransomware normalmente se propaga como una convencional gusano informático, metiendose en un sistema a través de, por ejemplo, un archivo descargado o una vulnerabilidad en un servicio de red (alguna pagina que haya sido vulnerada y te esté lanzando algún script malicioso). Una vez realizada la descarga  el programa se ejecutará y empezará a cifrar los archivos personales en el disco duro. Los Ransomware más sofisticados pueden tener un sistema de cifrado híbrido que cifra texto plano de la víctima con una clave simétrica  aleatoria y una clave pública fija.

El autor de malware es el único que conoce la clave privada para descifrado si es necesario. Es un poco curioso ya que algunos payloads de Ransomware no utilizan cifrado. En estos casos, la carga es más que una aplicación diseñada para bloquear tu interacción con el sistema, normalmente remplazando el  explorer.exe en el registro de Windows por una shell por defecto, o modificando el registro de arranque maestro (Master Boot Record [MBR]) , no permitiendo de esta manera que el sistema operativo pueda ponerse en marcha hasta que sea reparado.

Sed Buenos ^^ 

No hay comentarios:

Publicar un comentario