Hoy en día, el ransomware es una de las amenazas más peligrosas que circulan por la red. Cuando este malware infecta un ordenador, automáticamente empieza a cifrar todos los datos que encuentra en él y, una vez finaliza, pide el pago de un rescate a cambio de la clave para recuperar los datos. Este rescate, en la mayoría de los casos, suele ser de varios cientos de dólares, lo que hace que pocos usuarios puedan permitirse pagarlo, sin embargo, Black Shades quiere cambiar este concepto convirtiéndose en un ransomware «low cost».
A grandes rasgos, Black Shades funciona como un ransomware cualquiera. Una vez infecta el ordenador comienza a cifrar todos los datos con un algoritmo AES de 256 bits añadiendo la extensión .silent a todos los ficheros y, una vez finaliza, pide el pago del rescate. Como hemos dicho, una de las principales diferencias de este malware respecto a otros es que los piratas informáticos responsables del mismo piden el pago de tan solo 30 dólares a cambio de la clave privada para descifrar los datos. El pago, además, puede realizarse a través de PayPal o en Bitcoin.
Los piratas informáticos (probablemente de origen ruso) han incluido en el algoritmo un reto para los investigadores de seguridad, a quienes retan a crackear el algoritmo.
La principal forma de distribución de este malware es mediante correos electrónicos fraudulentos y de SPAM, utilizando a YouTube como gancho de los mensajes. Además, a diferencia de otros malware similares como BadBlock, este solo cifra los datos de una serie de directorios específicos del disco duro principal C.
El ransomware Black Shades no se puede descifrar, pero existe un truco para detener el cifrado de los datos
Los expertos de seguridad están analizando el algoritmo de este ransomware con el fin de encontrar la más mínima debilidad que les permita romperlo y crear una aplicación que descifre los datos de los usuarios de forma totalmente gratuita, sin embargo, hasta ahora esto no ha sido posible.
Sin embargo, sí que existe una forma de detenerlo antes de que cause daños mayores en el sistema. Según han descubierto los expertos de seguridad, este malware hace uso de la web icanhazip.com para obtener la IP de la víctima. Si la comprobación de la IP falla, el ransomware genera un error crítico y se cierra por completo.
Por ello, desde ahora podemos protegernos de este ransomware modificando el fichero hosts de Windows (c:windowssystem32driversetchosts) y añadiendo la entrada:
127.0.0.1 www.icanhazip.com
De esta manera, en caso de caer víctimas de él, no podrá comprobar la IP de nuestro ordenador y se cerrará automáticamente, permaneciendo nuestros datos sin cifrar.
Este no es un método definitivo (ya que el pirata informático responsable del mismo probablemente lance una actualización que solucione este error) ni es válido para todos los ransomware, por lo que aún debemos seguir teniendo cuidado.
¿Crees que los ransomware «low cost» pueden ser una nueva forma de hacer que los usuarios paguen los recates?
Quizá te interese:
- Cómo recuperar los archivos cifrados por un ransomware restaurando las copias Shadow
- Cómo protegerte del 90% del ransomware sin necesidad de un antivirus