Ransomware. La bolsa o la vida.pdf
28 Julio, 2006 — Root ZeroHace no demasiado leí algo sobre esta amenaza que espera, escondida, su oportunidad de hacerse famosa.
Imaginemos la siguiente situación. Un buen día decido bajarme un programa en mi flamante Windows. Como soy un usuario medio, no uso antivirus y no tomo precauciones cuando descargo algo de sitios desconocidos. La instalación del programa me da un mensaje de error así que me olvido de él. Después de hacer esas cosas que hacemos los usuarios medios (internet is for pr0n xD),apago puesto que no soy de esos frikis que intentan batir el record mundial de uptime.
Al día siguiente me dispongo a encender el ordenador para modificar la lista de la compra y sustituir el arroz SOS por Brillante, que no se pasa :P. Cuál es mi sorpresa cuando descubro que el fichero lista_de_la_compra.odp ha sido encriptado y sustituido por otro que me pide que ingrese 200 euros en una cuenta en las islas Caimán a cambio de una contraseña que me permitirá recuperar todos mis ficheros.
El caso AIDS
En 1989 se distribuyeron 10.000 copias de un programa con de Informacion sobre el SIDA con apariencia bastante profesional. La supuesta empresa distribuidora se llamaba PC Cyborg. Algunas copias llegaron a empresas médicas y otros negocios. La licencia decía algo así como: Si se violara la licencia, la empresa se reserva el derecho de emplear los mecanismos necesarios para asegurarse de la inutilización del programa. Esto afectará negativamente a otros programas. Queda avisado de las consecuencias. . Más abajo se le decía al usuario: Atención, no use este programa a no se que piense pagar por él. Pero bueno, es una licencia más de las muchsa que “firmamos” diariamente sin apenas leer. Y claro, luego pasa lo que pasa, un buen día llama a tu puerta un enano, se saca una tranca enorme y te pregunta, sujetando un impreso: “Ha aceptado usted esto?”
En principio, la instalación del programa terminaba normalmente; sin embargo, también se había creado un directorio oculto. Su nombre, un carácter no imprimible. En su interior, un programa de las mismas características. El AUTOEXEC.BAT era sustituido por otro idéntico que además llamaba al programa anterior. Este programa llevaba un contador con las veces que el ordenador había sido reiniciado. Cuando esto ocurría un número determinado de veces, encriptaba el contenido del disco duro y solicitaba un pago a cambio de la clave para desencriptar la información.
Probablemente este fuera el primer caso de ransomware. Desde entonces, este fenómeno no ha supuesto una amenaza real.
En mayo de 2005 aparecia GPCoder, un troyano con un nivel de riesgo muy bajo, según la alerta de Symantec. Este infectaba el ordenador mediante un fallo de Internet Explorer (para variar) y encriptaba imágenes, archivos comprimidos y, por lo general documentos creados con aplicaciones de ofimática. De nuevo, pedía a cambio un “rescate”.
Cryzip es bastante más reciente, concretamente de marzo de este año. En lugar de encriptar los ficheros, los guarda en archivos ZIP protegidos por contraseña.
Este tipo de malware infecta máquinas como lo haría cualquier virus. Sin embargo, de momento ninguno se ha considerado un peligro real. Hasta ahora, la propagación ha sido mínima y el sistema de cifrado que se usaba era de tipo simétrico, con lo que no resultaba demasiado difícil recuperar la información. Además, las cuentas en las que se debía pagar el rescate eran fácilmente localizables. Sin embargo, es cuestión de tiempo que se perfeccionen, empiecen a usar cifrado asimétrico y sean capaces de propagarse con mayor rapidez. ¿Estaremos preparados? Los linuxeros, sí xD.
Pero no todos son malos
Escribiendo esta entrada me encontré con otra acepción de ransomware, una licencia de software que solicita dinero para liberar el código fuente de su programa, es decir, que el autor solicita una suma de dinero (razonable) a cambio del código fuente, mientras que el codigo compilado es totalmente gratuito. Aunque Stallman pondría el grito en el cielo, la idea no está del todo mal.
