Ransomware

El ransomware (también llamado filecoder) es un tipo de malware que bloquea su dispositivo o cifra contenido en su dispositivo y exige dinero para restaurar el acceso al contenido. Este tipo de malware también puede incluir un temporizador con una fecha límite de pago programada. Si no se cumple con esa fecha límite, el precio aumenta o, en última instancia, el dispositivo queda inaccesible.

Cuando se infecta el dispositivo, es posible que el filecoder intente cifrar las unidades de disco compartidas. Este proceso puede dar a entender que el malware se está esparciendo por toda la red, pero no es así. Esta situación sucede cuando se cifra la unidad compartida en un servidor de archivos, pero el servidor no está infectado con malware (a menos que sea una servidor de terminal).

Los autores de ransomware generan un par de claves de cifrado (una pública y una privada) e insertan la pública dentro del malware. El ransomware mismo puede ser parte de un troyano o puede parecer un archivo o imagen que se puede recibir en un correo electrónico, a través de las redes sociales o mediante mensajería instantánea. Luego de infiltrarse en su equipo, el malware generará una clave simétrica aleatoria y cifrará los datos en su dispositivo. Utilizará la clave pública en el malware para cifrar la clave simétrica. El ransomware entonces exige dinero a cambio de descifrar los datos. El mensaje de pedido de pago que se muestra en el dispositivo puede ser una falsa alarma de que el sistema se ha usado para actividades ilegales o que tiene contenido ilegal. Se le pide a la víctima del ransomware que page mediante una variedad de métodos de pago. Las opciones son normalmente difíciles de rastrear, como son las criptomonedas digitales, mensajes SMS a números con tasas superiores o cupones prepagos. Luego de recibir el pago, el autor del ransomware debe desbloquear el dispositivo o utilizar la clave privada para descifrar la clave simétrica y los datos de la víctima. No obstante, esta operación no está garantizada.