Ransomware

El Ransomware es un tipo de ataque de malware en el que el atacante bloquea y cifra los datos de la víctima, los archivos importantes para luego exigir un pago para desbloquear y descifrarlos.

Este tipo de ataque se aprovecha de las vulnerabilidades humanas, del sistema, de la red y del software para infectar el dispositivo de la víctima, que puede ser un ordenador, una impresora, un smartphone, un wearable, un terminal de punto de venta (TPV) u otro punto final.

Procedimiento del Ransomware

1. Infección: El ransomware se descarga e instala de forma encubierta en el dispositivo.
2. Ejecución: El ransomware escanea y mapea las ubicaciones de los tipos de archivos objetivo, incluidos los archivos almacenados localmente y los sistemas accesibles por red mapeados y no mapeados. Algunos ataques de ransomware también eliminan o cifran los archivos y carpetas de copia de seguridad.
3. Cifrado: El ransomware realiza un intercambio de claves con el servidor de mando y control, y utiliza la clave de cifrado para codificar todos los archivos descubiertos durante el paso anterior de ejecución. También bloquea el acceso a los datos.
4. Notificación a la Víctima: El ransomware añade archivos de instrucciones que detallan el proceso de pago por el descifrado y, a continuación, utiliza esos archivos para mostrar una nota de rescate al usuario.
5. Limpieza: El ransomware suele terminar y borrarse a sí mismo, dejando sólo los archivos de instrucciones de pago.
6. Pago: La víctima hace clic en un enlace en las instrucciones de pago, que lleva a la víctima a una página web con información adicional sobre cómo realizar el pago del rescate requerido.
7. Descifrado: Después de que la víctima pague el rescate, normalmente a través de la dirección Bitcoin del atacante, puede recibir la clave de descifrado. Sin embargo, no hay garantía de que la clave de descifrado se entregue como se prometió.