Con la reciente afluencia de historias de ransomware apareciendo cada semana, puede ser difícil hacer un seguimiento de las diferentes cepas. Sin embargo, normalmente se dividen en variantes principales. Mientras que cada uno de éstos se separa en diversas variantes, generalmente se basan en en tácticas similares para tomar control de los usuarios y secuestrar sus datos. Echemos un vistazo a las cepas más comunes:
- Cerber: Cerber está orientado a los usuarios de Office 365 basados en la nube y se estima que ha perjudicado a millones de usuarios utilizando una sofisticada campaña de phishing. Este tipo de malware hace hincapié en la creciente necesidad de respaldo SaaS, además de en el local.
- Crysis: Este tipo de ransomware puede cifrar archivos en unidades fijas, extraíbles y de red y utiliza algoritmos de encriptación potentes con un esquema que hace difícil de frenarlo en un tiempo razonable.
- Cryptolocker: Los Ransomware llevan con nosotros de una cierta forma u otra durante esta dos última décadas, pero realmente hizo aparición en 2013 con CryptoLocker. La botnet original de CryptoLocker fue cerrada en mayo de 2014, pero no antes de que los hackers detrás de ella extorsionaran casi $ 3 millones sus víctimas. Desde entonces, el método de CryptoLocker ha sido ampliamente copiado, aunque las variantes en funcionamiento hoy en día no están directamente vinculadas al original. La palabra CryptoLocker, al igual que Xerox y Kleenex en sus respectivos mundos, se ha convertido casi en sinónimo de ransomware.
- CryptoWall: CryptoWall ganó notoriedad después de la caída del CryptoLocker original. Apareció por primera vez a principios de 2014, y las variantes han aparecido con una variedad de nombres, incluyendo Cryptobit, CryptoDefense, CryptoWall 2.0 y CryptoWall 3.0, entre otros. Al igual que CryptoLocker, CryptoWall se distribuye a través de kits de spam o exploit.
- CTB-Locker: Los delincuentes detrás de CTB-Locker llevan a cabo un acercamiento diferente a la distribución del virus. Tomando una página de los guías de Girl Scout Cookies y Mary Kay Cosmetics, estos hackers externalizan el proceso de infección a los socios a cambio de un recorte de los beneficios. Esta es una estrategia probada para lograr grandes volúmenes de infecciones de malware a un ritmo más rápido.
- Jigsaw: Jigsaw cifra y luego elimina progresivamente archivos hasta que se paga el rescate. El ransomware elimina un solo archivo después de la primera hora, luego elimina más y más por hora hasta la marca de 72 horas, cuando se eliminan todos los archivos restantes.
- KeRanger: Según to ArsTechnica, KeRanger ransomware fue descubierto recientemente en un popular cliente de BitTorrent. KeRanger no está ampliamente distribuido en este punto, pero vale la pena señalar porque es conocido como el primer ransomware completamente funcional diseñado para bloquear aplicaciones de Mac OS X.
- LeChiffre: «Le Chiffre», , que proviene del nombre francés «chiffrement» que significa «cifrado», es el principal villano de la novela de James Bond Casino Royale que secuestra a la pretendida amorosa de Bond para atraerlo a una trampa y robar su dinero. Gran nombre. A diferencia de otras variantes, LeChiffre debe ejecutarse manualmente en el sistema comprometido. Los delincuentes cibernéticos exploran automáticamente las redes en busca de escritorios remotos mal protegidos, registrándose en ellos remotamente y ejecutando manualmente una instancia del virus.
- Locky: Locky, tiene un enfoque similar a muchos otros tipos de ransomware. El malware se transmite mediante spam, normalmente en forma de un mensaje de correo electrónico disfrazado de factura. Cuando se abre, la factura se codifica y se indica a la víctima que habilite las macros para leer el documento. Cuando las macros están habilitadas, Locky comienza a cifrar una gran variedad de tipos de archivo usando el cifrado AES. Se requiere el pago del rescate mediante Bitcoins cuando se completa el cifrado.
- TeslaCrypt: TeslaCrypt es otro nuevo tipo de ransomware en escena. Al igual que la mayoría de los otros ejemplos aquí, utiliza un algoritmo AES para cifrar archivos. Normalmente se distribuye a través del kit de ataque Angler específicamente atacando las vulnerabilidades de Adobe. Una vez que se explota una vulnerabilidad, TeslaCrypt se instala en la carpeta temporal de Microsoft.
- TorrentLocker: TorrentLocker normalmente se distribuye a través de campañas de correo electrónico no deseado y está geográficamente orientado, con mensajes de correo electrónico enviados a regiones específicas. TorrentLocker es a menudo conocido como CryptoLocker, y utiliza un algoritmo AES para cifrar tipos de archivos. Además de codificar archivos, también recopila direcciones de correo electrónico de la libreta de direcciones de la víctima para difundir malware más allá de la red o computadora inicialmente infectada, esto es exclusivo de TorrentLocker.
- ZCryptor: ZCryptor es una variedad de malware que se propaga automáticamente y que exhibe un comportamiento semejante a un gusano, cifrando archivos e infectando unidades externas y unidades flash para que pueda distribuirse a otros equipos.
Para protegernos de este tipo de secuestros contamos con herramientas de backup mediante imágenes completas y detección de Ramsoware. Además dichas soluciones deben respaldarse tanto localmente así cómo en la nube. Infotecnika, ofrece una solución sólida: La gama de productos DATTO. Puede ampliar información aquí.