miércoles, 14 de agosto de 2019

Ser noticia por ransomware: no, gracias

Un día cualquiera, laboral, en un mes casi cualquiera, julio por ejemplo. Suena el teléfono:
- Informática, buenos días
- Pedro (tienen mi extensión anotada en el post-it de turno) tengo un correo que me da “mal rollo”, que pone cosas raras y no entiendo qué dice ni si es para nosotros…
- ¡Tate quieta! No hagas nada que voy en un momento…
Dicho y hecho: al ordenador de marras a ver qué es lo que ha llegado al correo y que ha disparado las alarmas del usuario.
Y era lo que se podía esperar: un correo electrónico de un remitente desconocido con un mensaje redactado en un español “de traductor malo” urgiendo a resolver un problema con una entrega de mercancías y aduanas de por medio, acompañado por un adjunto en ¿.pdf?
No pintaba bien.

Lo primero, avisar a todo el mundo que tiene acceso a esa cuenta de correo, corporativa, que NO abra el correo hasta que no se sepa qué trae; lo segundo, reenviarlo a una cuenta de correo “fungible” y a un equipo (también fungible) con Linux… ¡porsiaca!.
Hecho eso, y para nada tranquilo ya que no me fío un pelo de la curiosidad del usuario, me vuelvo a mi rincón a ver qué nos ha llegado.
Empiezo guardando el correo al completo, con su adjunto y todo, para no trabajar desde la aplicación de correo: no hay que romper más de lo necesario… Después toca abrir el texto del mensaje con un editor de texto: nada más que texto plano, ni html ni imágenes ni nada (que las carga el diablo). Y, sí, sonaba raruno…
Texto del correo
Ese texto, en el correo original venía acompañado de unas cuantas imágenes para darlo un toque un poco más “profesional”. Huelga decir que los ficheros de imágenes fueron subidos a VirusTotal… En principio no había nada malo.
Contenido del correo
El siguiente paso fue descomprimir el adjunto .rar para ver qué traía: el .exe de turno ¿para qué dar vueltas y hacerlo más complicado si quien hace clic una vez hace clic dos veces?
Adjunto comprimido... y descomprimido
El fichero .exe fue el siguiente en ser subido (y re-subido) a VirusTotal, donde ya sabían de él y de todo lo malo que era, y desde cuándo:

Total: sospechas confirmadas, por lo que el siguiente paso fue el de avisar a mis queridos usuarios para que borrasen el correo de marras y vaciasen la papelera acto seguido… Que los archivos recuperados los carga el diablo…
Posteriormente, ya con la tranquilidad de que al menos por esta ocasión no se había liado parda -ergo tooooodooo cifrado por ransomware-, aproveché para contarles un poco por encima cómo los malos se aprovechan de los usuarios confiados para causar daño en los sistemas informáticos y el caos que pueden llegan a provocar
Cosas que pasan
Y de paso explicarles que Windows trata los archivos de forma distinta según sea de cara al usuario o según sera para trabajar con ellos.
Cuando se los muestra al usuario lo hace leyendo el nombre de izquierda a derecha: nombre del archivo – punto – extensión (por lo general tres caracteres) que identifica la aplicación que abre ese archivo, y nos muestra el icono correspondiente a la aplicación para que sepamos qué tipo de archivo es, sin mostrarnos en ocasiones la extensión (depende de nuestra configuración) Y ya está: Windows considera que para el usuario no es necesario que exista nada más allá, lo ignora… ¡para hacernos más cómoda la vida!
Pero cuando el sistema operativo tiene que trabajar con el archivo lo hace de forma distinta: empieza leyendo de derecha a izquierda, por un motivo muy sencillo: en función de la extensión del archivo tiene que abrir primero el programa correspondiente y luego el archivo. ¿Veis por dónde voy? Esto significa que si el archivo se llama, por ejemplo ;), ejemplo.txt, Windows nos muestra el icono del programa bloc de notas y el nombre del archivo, y cuando hacemos doble clic para abrirlo primero “leerá” txt y abrirá el Notepad.exe, y luego abrirá el archivo “ejemplo”.
Archivos sin y con extensión
Si el archivo se llamara, como en la imagen, ejemplo.txt.bat, vemos que Windows sólo nos muestra ejemplo.txt y el icono del programa que lo abre. Pero nosotros no nos vamos a fijar en que no “nos suena” el icono sino en que el fichero es un .txt que no es malo ¿no? Pues al hacer doble clic sobre él el sistema operativo se encuentra con la extensión .bat, esto es, un archivo ejecutable por lotes, y lo ejecuta cumpliendo las instrucciones que en él se encuentran (¿te imaginas ya dónde está “escondida” la malicia?), sigue leyendo hacia la izquierda y se encuentra con .txt y abre el Notepad para terminar abriendo el archivo… ¡con el ordenador ya infectado!
Así de sencillo es; así de fácil que caigamos.
Si no te lo crees y sigues pensando que en tu casa, trabajo, colegio... no hace falta más concienciación ni formación ¡te convertirás en noticia! Y estaremos esperando para ponerte, una vez más, de ejemplo…
Pero si, por el contrario, esto te ha hecho recapacitar, recuerda que tienes muchos medios a tu disposición, mucha gente dispuesta a echarte una mano: #PlanDirector de Policía y Guardia Civil para los coles, #cibercooperantes del Incibe… y tantos y tantos otros, tanto gratuitos (¿espíritu hacker?) como de pago. Tú eliges.
Y si crees que te puedo ayudar a decidir por cuál, a ver qué puede hacerte falta, a… no dudes en hacérmelo saber.
¡¡Pero NO seas noticia, por favor!!

1 comentario:

Fernando dijo...

Y pensar que conforme lo iba leyendo me iban entrando las 7 cossas. Gracias por el artículo un saludo