11 DATOS PARA SOBREVIVIR AL 21 DE ABRIL

EL 21 DE ABRIL SE VENDRÁN CAMBIOS IMPORTANTES DE SEO EN EL ALGORITMO DE GOOGLE, SI QUIERES SEGUIR MANTENIENDOTE EN LAS MISMAS POSICIONES EN EL BUSCADOR, DEBES TOMAR EN CUENTA LAS SIGUIENTES RECOMENDACIONES QUE SE PRESENTAN EN LA SIGUIENTE INFOGRAFÍA.

SI LOS VIRUS FUERAN CLANES CRIMINALES, EL MÁS PODEROSO DEL MOMENTO SERÍA EL CLAN DEL CRIPTO-MALWARE...

CryptoLocker, CryptoWall, CryptoFortress: nombres similares pero su modus operandi es el mismo: secuestran tus archivos a cambio de dinero. Te enseñamos a reconocerlos y te contamos cómo acabar con ellos.

Si los virus fueran clanes criminales, el más poderoso del momento sería el clan del Crypto-malware. Son virus que se hacen pasar por aplicaciones legítimas y que se ejecutan aprovechando descuidos del usuario. Los antivirus los detectan demasiado tarde, y salen nuevas variantes continuamente. Es una batalla difícil.

Este es el aspecto de una de las primeras versiones de CryptoLocker

Los virus de tipo "Crypto" son secuestradores (ransomware) que bloquean archivos valiosos para chantajear al usuario. A diferencia del virus de la policía, que amenaza con denunciar las autoridades, los criptovirus no se hacen pasar por nadie, sino que toman documentos del disco duro, los bloquean y piden un rescate cuantioso.

¿Qué hacen CryptoLocker y CryptoWall?

La mayoría de criptovirus actúa en cinco fases. La primera es la instalación, que es silenciosa y sucede cuando el incauto usuario abre un adjunto misterioso o abre un archivo descargado de una web de mala reputación. Al instalarse, el virus configura unas claves en el Registro de Windows para iniciarse en cada arranque del PC.

Una vía de infección común son los adjuntos de correo misteriosos: ¡no los abras! (fuente)

Una vez que CryptoLocker o CryptoWall se ha instalado, contacta con el cuartel general de los criminales a través de Internet. El virus prueba miles de direcciones cada día en busca de una que responda. Cuando logra establecer comunicación, se lleva a cabo un intercambio declaves de cifrado, usadas para "secuestrar" los archivos.

Empieza el secuestro de los archivos

Lo que ocurre a continuación es dramático: el virus elige archivos al azar del disco duro y loscifra usando una clave imposible de romper. En la práctica, los datos se vuelven inaccesibles (no se pueden abrir), porque el virus borra el original. La única manera de recuperar los datos es con la clave original, pero solo la tienen los criminales.

El virus ha entrado en la carpeta de Imágenes: están cifradas, ya no se pueden abrir

¿Qué archivos secuestra el virus? Depende. CryptoLocker y CryptoWall eligen documentos de todo tipo, como los de Office o AutoCAD, mientras que otras variantes atacan tipos específicos; por ejemplo, el virus TeslaCrypt secuestra partidas guardadas y otros archivos esenciales de los juegos instalados en el PC.

Con la herramienta OmniCryptoFinder es posible encontrar todos los archivos secuestrados por el virus en cualquier carpeta, sea cual sea la variante que ha infectado el PC. Solo hay que elegir el punto de partida y OmniCryptoFinder escaneará todas las subcarpetas. También puedes usar ListCrilock.

Con OmniCryptoFinder puedes saber qué archivos han sido secuestrados por el criptovirus

La petición de rescate y el miedo

Finalmente, tras secuestrar varias docenas de archivos, el virus se muestra y pone en práctica su chantaje. En la máquina de pruebas que usamos, CryptoWall tardó menos de cinco minutos en aparecer. Lo hizo a través de una imagen y una página web con instrucciones muy claras y en español.

El aviso de CryptoWall 3.0, que usa claves de cifrado RSA-2048, con enlaces para pagar

Las distintas variantes de CryptoLocker y CryptoWall piden sumas que pueden llegar a los 500 dólares, con un límite de tiempo de dos o tres días. Pasado ese plazo, el precio sube o bien la opción de pagar desaparece. A menudo el pago se debe efectuar a través de Bitcoin, una moneda virtual que dificulta la identificación de los criminales.

El virus me ofrece descifrar gratis un solo archivo. Qué amable...

La recomendación de los expertos en seguridad es unánime: no hay que pagar a menos que sea estrictamente necesario (y eso es casi nunca). Para empezar, no está claro si el pago hará que la clave de descifrado llegue o funcione. Por otro lado, el pago estará financiando a los criminales, quienes tendrán fondos para crear malware todavía peor.

Cómo actuar en caso de infección

Lo primero que hay que hacer nada más ver el aviso de CryptoWall o CryptoLocker esapagar el ordenador lo antes posible. Cuanto más tiempo dejes que el virus actúe, más archivos podrá bloquear. Es por ello que, idealmente, solo debes actuar desde el Modo a prueba de errores o bien usando un CD/DVD de arranque con antivirus incorporado.

Si optas por reiniciar en Modo a prueba de fallos, puedes usar un antivirus portátil, comoNorton Power Eraser o Avira PC Cleaner, que encontrarán el virus y lo borrarán por completo. En nuestra prueba optamos por usar el DVD de arranque Kaspersky Rescue Disk, que limpia el PC sin pasar por Windows.

Con Kaspersky Rescue Disk pudimos eliminar CryptoWall 3.0 en cuestión de minutos

Si tras reiniciar el PC siguen abriéndose las imágenes de CryptoWall, no te preocupes: el virus ha sido eliminado. Tan solo tienes que eliminar las entradas correspondientes delmenú Inicio (Startup) para que no se abran al iniciar Windows. Así, ni siquiera las instrucciones del virus, de por sí inofensivas, volverán a verse.

El virus ya no está, pero sus instrucciones permanecen: bórralas del menú Inicio

¿Es posible recuperar los archivos?

Una vez desinfectado el PC, toca comprobar los daños y ver qué archivos han sido cifrados y cuáles se pueden recuperar a través de copias de seguridad o herramientas externas. Si no sueles guardar copias de seguridad de los documentos, podemos anticiparte que algunas recuperaciones serán muy complicadas.

Método 1: recurrir a copias de seguridad

Lo primero que puedes hacer es recurrir a copias de seguridad en Google Drive, Dropbox o discos externos. Si tienes las Versiones previas activadas en Windows 8, puedes recurrir a ellas para recuperar los archivos: pero cuidado, algunos criptovirus también borran las copias ocultas.

Tanto Google Drive como Dropbox cuentan con historiales de cada archivo

Método 2: usar un recuperador de archivos gratuito

Los criptovirus como CryptoLocker o CryptoWall borran los archivos originales antes de cifrar las copias. Si usas un recuperador de archivos borrados, como Recuva o PhotoRec, la probabilidad de rescatar los originales es elevada. Por si acaso, no copies nuevos archivos en el PC: hacerlo podría eliminar el rastro de los que quieres recuperar.

PhotoRec recuperó en diez minutos varios de los archivos borrados por CryptoWall

Método 3: usar una herramienta de descifrado especial

En algunos casos (pocos) es posible descifrar los archivos secuestrados gracias a que se ha recuperado la clave en posesión de los criminales -normalmente, porque los arrestaron. La página gratuita DecryptCryptoLocker descifra archivos secuestrados por variantes antiguas. En alternativa, puedes probar las herramientas de Kaspersky.

Los archivos infectados por CryptoWall no pudieron ser liberados por DecryptCryptoLocker

Cómo prevenir la infección por CryptoLocker / CryptoWall

En el artículo Cómo derrotar CryptoLocker, explicamos que la primera línea de defensa eres tú: no abras archivos desconocidos ni tampoco hagas clic en adjuntos cuyo origen desconozcas. Tener un antivirus actualizado no siempre garantiza una protección contra los virus secuestradores.

Una herramienta que sí puedes usar es CryptoPrevent, una herramienta que deshabilita los permisos aprovechados por los criptovirus para iniciarse en el arranque de Windows. Con CryptoPrevent activado, la instalación del virus es imposible. Usarla es fácil: marca laprimera, segunda y cuarta casillas y haz clic en Apply.

CryptoPrevent impide la instalación de CryptoLocker, CryptoWall y otros criptovirus

GOOGLE CHROME FUE EL PROGRAMA CON MÁS VULNERABILIDADES EN 2014

La firma de seguridad Secunia se dedica a buscar las vulnerabilidades que tienen los diferentes programas de PC. Hace unos días, la organización publicó el reporte de 2014, en el cual muestran cuales son los programas más vulnerables del mercado. Durante el año pasado, Secunia registró 15.435 problemas en 3.870 diferentes aplicaciones. Esto representa un incremento de 18% en vulnerabilidades y 18% en programas frente a las cifras del año pasado. Y apenas lean la lista, se van a sorprender.

El programa con más vulnerabilidades de 2014 fue Google Chrome. El navegador de internet de Google, que constantemente hace concursos para encontrar huecos de seguridad, fue el programa más vulnerable de 2014. La firma de investigación encontró que el navegador de Google tuvo 504 vulnerabilidades. En el segundo lugar de esta lista se encuentra Solaris, un programa empresarial de Oracle. Secunia registró 483 diferentes huecos de seguridad en 2014 en él. La distribución Gentoo de Linux ocupó el tercer lugar con 350 huecos de seguridad.

Otros de los participantes en esta sospechosa lista es OS X con 147 vulnerabilidades, y Windows 8 con 105.

De acuerdo con ZDNet, solo dos programas de Microsoft entraron en los primeros 20 programas. El mayor fabricante fue IBM que obtuvo ocho entradas. Tivoli Endpoint Manager fue el peor programa de IBM con 258 vulnerabilidades. Cabe mencionar que muchas de las fallas de seguridad se comparten entre los diferentes programas, lo que explica la presencia de varios programas de ‘Big Blue’.

Es importante mencionar que el hecho de tener muchas vulnerabilidades no quiere decir que un programa sea inseguro. El hecho de descubrir todas las vulnerabilidades es que la empresa está activamente buscando los huecos y lanzando los parches rápidamente. Eso indica hay que tener los programas actualizados.

La investigación asegura que las empresas de tecnología están mucho más juiciosas que antes a la hora de arreglar sus programas. Secunia dice que de las 16.435 vulnerabilidades, “el 83% fueron parchadas el mismo día fue fueron descubiertas”.

COMO ELIMINAR EL VIRUS DEL ACCESO DIRECTO

El  virus del acceso directo reemplaza todas tus carpetas por accesos directos, inpidiéndote acceder a su contenido. Afortunadamente, es muy fácil acabar con él.

Conectas un pendrive al PC, te preparas para ver sus archivos y... ¡sorpresa! las carpetas ya no están. Han sido reemplazadas todas por accesos directos que aparantemente no van a ninguna parte. ¿Qué hacer?

¿De dónde sale este virus?

El conocido como "virus del acceso directo" puede en verdad ser una de las muchas variantes. En realidad es un script VBS que has ejecutado, probablemente por estar incluido de forma malintencionada en otro programa.

Es el caso de la variante conocida como Mugen.vbs, que alguien incluyó en un paquete con el juego Mugen Saint Seiya.

Este juego de Caballeros del Zodíaco venía con sorpresa

¿Qué hace exactamente el virus del acceso directo?

Las buenas noticias son que el virus del acceso directo, o Mugen.vbs, no borra nada. En su lugar, hace algo más curioso: marca las carpetas contenidas como ocultas y de sistema, además de crear accesos directos que se llaman igual.

Carpetas originales (ocultas) y los accesos directos, creados por el virus

Estos accesos directos por supuesto no abrirán su carpeta, sino que ejecutarán el virus,infectando potencialmente la máquina en la que estás trabajando.

Con un concepto tan simple ha logrado extenderse rápidamente.

¿Cómo eliminarlo?

Si has sido infectado, lo primero es cambiar la configuración del Explorador de archivos paratener más claro qué es qué. Concretamente, en el menú Herramientas > Opciones de carpeta del Explorador de archivos, pestaña Ver.

Marca Mostrar archivos, carpetas y unidades ocultos y desmarca Ocultar archivos protegidos del sistema operativo y Ocultar las extensiones de archivo para tipos de archivo conocidos.

Tras hacer esto, ¿puedes localizar el archivo con extensión VBS en la memoria USB? Si es así, bórralo. Es posible que Windows no te deje hacerlo si está en uso. Unlocker es una utilidad pensada especialmente para eliminar estos archivos rebeldes.

También puedes Detener el proceso Wscript.exe (Microsoft Windows Based Script Host) en el Administrador de tareas. No es malicioso, es simplemente el motor de scripts que usa el virus para funcionar.

Si no estás seguro de dónde se esconde el archivo VBS, prueba enUsers\AppData\tu.usuario\AppData\Roaming. ¿Tampoco está aquí? Entonces haz clic derecho en uno de los accesos directos falsos que ha creado y elige Propiedades. En el apartado Destino generalmente tendrás una pista de dónde está el archivo vbs, justo después de "start".

Borrar el archivo VBS te asegurará que no vas a volver a infectarte tan pronto como le des sin querer a un acceso directo, pero no arregla el estropicio que el virus ha creado. Lo deberás hacer manualmente o mediante un archivo BAT.

Selecciona todos los accesos directos falsos en el Explorador y bórralos (truco: haz clic en el primero y después en el último mientras pulsas Shift).

Por último, selecciona todas las carpetas reales ocultas y haz clic derecho para elegirPropiedades. Desmarca ambas casillas, Oculto y Sólo lectura, y pulsa Aceptar.

Con este proceso devolverás las carpetas a su estado original, pero algunas personas prefieran hacer este proceso automáticamente mediante un archivo BAT. Si es tu caso, crea un nuevo documento de texto con el siguiente contenido:

taskkill /IM wscript.exe

del /f /q *.vbs

attrib /d /s -r -h -s *.*

del /f /s /q *.lnk

Graba el documento con extensión .BAT, cópialo a la raiz de tu memoria USB y ábrelo.

Funciona de la siguiente manera: primero, cierra el proceso Windows Script, para a continuación borrar cualquier archivo VBS. Después elimina los atributos de archivo oculto o de sistema de todos los archivos en esa carpeta y subcarpetas, para a continuación borrar los accesos directos.

Ten en cuenta que este archivo BAT puede causar algunos estragos en tu PC si lo ejecutas en la raíz de tu unidad del sistema, ya que eliminará todos los accesos directos, incluidos los del Escritorio y Menú inicio. Por tanto, sólo te recomiendo usarlo en tu memoria USB o en una carpeta concreta.

Adiós, virus del acceso directo

APPS MAGICAS PARA HACKEAR FACEBOOK

Conseguir la contraseña de Facebook de una cuenta es una de las peticiones más usuales que se suele recibir de la gente que busca solucionar sus problemas invadiendo la intimidad de las personas cercanas. Hay una gran demanda para este tipo de servicios, y por ende aparece la oferta de este tipo de servicios por medio de muchas maneras, casi todas con el fin de engañar al que busca hackear Facebook. Desde engaños al uso de "págame y ya me pongo yo a conseguirte la contraseña que yo hago unos troyanos superfuertes", hasta las típicas falsas apps mágicas que se comercializan para espiar WhatsApp en las que supuestamente pones un número de teléfono y al instante te da las conversaciones que de la otra persona. 

Figura 1: Apps mágicas para hackear Facebook

Estas apps mágicas para espiar son algo muy utilizado en el mundo del fraude online, y en casos como las apps mágicas para WhatsApp han generado auténticos negocios como hemos visto en el pasado. Hoy yo venía a hablaros de una de esas apps mágicas para hackear. En concreto de una App mágica para Hackear Facebook que me encontré ayer jugando con nuestra plataforma Path 5.

Figura 2: FaceHack, una app para robar passwords de Facebook con 0days de SQL Injection y Brute Force

La encontré mientras buscaba apps hablaran de SQL Injection y me llamó poderosamente la atención.  "¿Una app para hackear Facebook que está relacionada con SQL Injection? Esto hay que verlo". Tal y como se puede ver en la imagen de arriba, el crespón negro indica que la app fue retirada de Google Playhace varios meses, pero lo bueno de Path 5 es que nos hace el archivado automático de todas las apps y todas las versiones, así que podría jugar con ella. 

Figura 3: Descripción, descargas e información de FaceHack en Google Play

El asunto del SQL Injection aparecía en la descripción, donde los autores presumen de que son unos tipos son unos mega hax0RDs con capacidades superiores a las que tienen los ingenieros de seguridad de Facebook y todos los investigadores que participan en el Bug Bounty y son capacidades de sacar las passwords usando Fuerza Bruta y bugs de SQL Injection que solo ellos tienen. Tiene gracia, pero ya que vas a meter una trola a alguien, que sea a lo grande, ¿no?. De hecho no será la primera vez que alguna gran empresa como Apple se come ataques de Brute Force en sus servidores o bugs de SQL Injection en sitios de renombre.

Aún así, publicar un par de 0days de Facebook en una app en Google Play no parece lo más inteligente para un hax0RD del nivel de estos autores, así que la trola canta muchísimo, así que decidí descargarla y darle un vistazo. Primero una descompresión del APK, luego una extracción del código con dex2jar para sacar los ficheros .class y luego usando JAD y Show My Code a leer un poco el código de laapp y para ver la magia.

Al extraer el código se podía ver que la parte del ataque SQL Injection la tenían en una rama completamente a parte, así que me fui a ver qué hacían por allí. La función que más me gustó fue esta de DoSomeTasks para tener entretenido al usuario de la app.

Figura 4: Función para hacer cosas

Esta función se llamaba de vez en cuando con algunos retardos de tiempo para que se viera lo duro y cansado que era el trabajo de esta pobre app tratando de sacar la contraseña de la víctima.

Figura 5: Retardos de tiempo periódicos en la app

Eso sí, la contraseña la saca, y la saca con emoción. Al estilo que buscan los periodistas cuando graban un reportaje para la tele. Visualizando la tensión poco a poco por pantalla. Primero intentando conectar una vez con mucha dificultad.

Figura 6: Tensión, se está intentando conectar a...¿a qué?

Lugo intentándolo otra vez, para al final conseguirlo y poder sacar por pantalla lapassword de la víctima que esta app mágica va a sacar para el atacante.

Figura 7: Se conecta a la segunda... y ¿obtiene una password? ¿De dónde?

Cuando sale la contraseña, se la saca de una variable que se llama Str. What? Str?¿De dónde ha salido ese Str con una password? Había que encontrar ese Str, así que a buscar la variable por todo el programa. Y ahí está, es mágico.

Figura 8: Sacando la password como los magos de la tele

Como se puede ver, lo único que hace es tirar un dado y sacar una contraseñaRandom para mostrársela al usuario y listo. ¡Eso sí es magia! Alguno podrá pensar que esto es una locura, pero... ¿no hacen esto los magos todos los días en los programas de consultorio de magia en la tele y son legales y pagan sus impuestos? Eso sí, por pantalla tiran comandos SQL para que se vea el SQL Injection.

Figura 9: Ahí está el SQL Injection... ¡escéptico!

Lo cierto es que el ataque de Brute Force era similar, así que fui a capón en busca de la variable Str para ver cómo lo hacía en la otra rama del ataque, para ver que era exactamente el mismo juego de magia e imaginación.

Figura 10: El Str del Brute Force y las funciones de publicidad e Mobile Core

¿Y todo por qué? Pues para monetizar el uso de la app con publicidad de Mobile Core, que no olvidéis que en la descripción de esta app se puede ver que tenía ya más de 10.000 descargas de usuarios que buscaban robar passwords de otros.

Figura 11: El mismo truco en versión desktop para Windows

Por supuesto, el truco este de la app mágica para hackear Faceook existe también en versión escritorio, e incluso hay un vídeo demostrativo de FaceHacker 2014 que demuestra como se obtienen las passwords. Unos crack de los efectos especiales en vídeo.

UNA ACTUALIZACIÓN DE WINDOWS 7 ERRÓNEA HACE QUE EL EQUIPO SE REINICIE SIN PARAR

No sucede siempre pero si de manera más habitual de lo que sería deseable. Una de las últimas actualizaciones liberadas por Microsoftno funciona correctamente y provoca que el ordenador se reinicie constantemente sin parar hasta que el usuario lo interrumpe manualmente. Se recomienda a los usuarios que no instalen por el momento este parche.

Microsoft, cumpliendo con la tradición, liberó hasta 14 parches de seguridad el pasado martes con el objetivo de corregir diversas vulnerabilidad y agujeros de sus sistemas operativos. Hasta aquí ningún problema pero la realidad es que una de estas actualizaciones está causando problemas en los usuarios de Windows 7 y Windows Server 2008 R2. En nombre del parche es KB3033929 y según explica Microsoft, mejora el soporte para SHA-2.

Aunque los detalles son confusos en estos momentos, son muchos los usuarios que están manifestando su malestar con esta actualización tanto en redes sociales como en los foros de soporte de la compañía de Redmond. Al parecer, falla su instalación y el equipo empieza reiniciarse sin parar hasta que el usuario interviene y detiene el proceso de forma manual.

Por ello, lo más recomendable es ocultar esta actualización y no aplicarla hasta que Microsoft proporcione más detalles al respecto. Esto se consigue accediendo al Panel de Control, Programas y características, Ver actualizaciones instaladas y allí buscaremos KB3033929. Una vez localizada la actualización, pulsaremos botón derecho y la ocultaremos.

No es la primera vez

Por desgracia, estamos demasiado acostumbrados a leer y sufrir con algunas actualizaciones para los sistemas operativos Windows. Sin ir más lejos, en el mes de diciembre una actualización de Windows 7 impedía instalar software firmado y un poco antes, durante el verano, se multiplicaron los problemas con la actualización de agosto de Windows 8.1. Desde Redmond deben ser conscientes de las molestias causadas a usuarios y del daño a la imagen de sus sistemas.

NUEVO VIRUS QUE SE PROPAGA VIA SMS AFECTA A LOS MOVILES ANDROID

Nuevo virus que se propaga vía SMS amenaza móviles Android

• Un nuevo virus que se propaga vía SMS amenaza móviles Android.
• Se trata de un programa que se manifiesta en forma de mensaje en el que se inserta un enlace: ¿Es esta tu foto?.
• Si recibes un mensaje con ese texto y un enlace adjunto, no se te ocurra abrirlo o habrás caído en la trampa.
  

Un nuevo virus que se propaga vía SMS amenaza móviles Android. Se trata de un programa que se manifiesta en forma de mensaje en el que se inserta un enlace: "¿Es esta tu foto?". Si recibes un mensaje con ese texto y un enlace, no se te ocurra abrirlo. 

En caso de caer en la trampa y acceder a ese enlace, se instalará en el terminal una app llamada 'PhotoViewer.apk'. La finalidad de este virus es la de hacerse con la agenda del teléfono del usuario, enviando a su vez el mismo enlace vía SMS a todos los contactos. 

Además, esto no sale gratis, ya que cada mensaje enviado lleva consigo un coste de 0,15 euros. El Cuerpo Nacional de Policía ya ha puesto en preaviso vía Twitter a todos los usuarios:

Una vez hemos caído en la trampa del nuevo virus que se propaga vía SMS y que amenaza móviles Android sólos nos queda eliminar la aplicación que se nos ha instalado en el terminal. Para ello tendremos qu desinstalarla desde los ajustes del teléfono y allí accediendo a las 'Aplicaciones', podremos borrarlo por fin.