Imagen de acompañamiento
El protagonista de nuestra historia real de hoy es Rober, un usuario que no prestó la atención necesaria al trabajo que estaba desarrollando y terminó siendo una víctima más del ransomware.

Rober se encontraba en su casa, trabajando con su ordenador en un documento de considerable importancia. Tras una última revisión minuciosa, y dando por finalizado su trabajo, lo guardó en el escritorio de su equipo. Con la satisfacción de haber realizado un buen trabajo, decidió tomarse un más que merecido descanso.

Tras un confortable paseo regresó a su casa, se sentó de nuevo delante del ordenador y se dispuso a revisar su gestor de feeds RSS (entre los que se encontraban los RSS de la OSI), a fin de visualizar qué habían publicado sus blogs favoritos. Cuando se hallaba centrado en la lectura de un artículo, distrajo su vista al comprobar que en la parte inferior de su pantalla había una notificación de su cliente de correo. Una vez concluyó la lectura de la publicación, echó un vistazo a su correo. En la bandeja de entrada pudo comprobar que tenía varios correos sin leer.

El primero que le llamó la atención fue uno cuyo asunto era: “Esta es su factura”. El nombre del remitente no lo reconoció, algo a lo que restó importancia ya que Rober estaba más que acostumbrado a recibir facturas electrónicas de distintos servicios periódicamente. El cuerpo del correo tampoco era muy descriptivo, por lo que no pudo saber de qué empresa o estamento procedía. Adjunto al mismo, figuraba un archivo comprimido. Dado que no había otra forma de saber de quién procedía, la curiosidad pudo con él y decidió descargar y abrir el archivo.

Email fraudulento con asunto "Esta es tu factura" y un fichero adjunto comprimido .zip

Una vez abierto y descomprimido, pudo comprobar que en su contenido se albergaba una hoja Excel, la cual decidió abrir. Para sorpresa de Rober, no contenía ningún dato, se trataba de una hoja en blanco. El único elemento que le llamó la atención, fue que en su parte superior, era visible una advertencia que contaba con un botón cuyo literal decía «Habilitar contenido».

Hoja Excel en blanco que solicita "Habilitar contenido"

Rober no se lo pensó ni un instante, estaba cansado y solo tenía ganas de apagar el ordenador por lo que rápidamente hizo clic en dicho botón con la esperanza de que se habilitara la hoja Excel y mostrara el contenido de la factura, algo que no sucedió, por lo que decidió cerrar el documento sin darle más importancia y pasar al siguiente correo.

Para su sorpresa, cuando Rober se encontraba respondiendo uno de los mensajes, de repente su navegador se abrió y cargó una página cuyo contenido era el siguiente:

Infección por ransomware Petya

Tras ver la imagen, se dio cuenta que algo no iba bien ¿sería por culpa de la factura? Pulsó una tecla siguiendo la indicación de la pantalla, apareciendo el siguiente mensaje:

Mensaje de rescate del ransomware Petya

Ya no había duda, le habían cifrado todos los ficheros del disco. Era una víctima más del ransomware. La supuesta factura no era más que una excusa para que acabara instalando malware en su equipo. Se trataba de un email fraudulento.

Rober, se sintió aliviado al saber que periódicamente realizaba copias de seguridad y las almacenaba en un disco duro externo, el cual únicamente conectaba en el momento de realizar la copia. Ahora lo que más le preocupaba era el documento en que llevaba trabajando todo el día y del cual, no tenía copia de seguridad. ¡Vaya disgusto!

Sabía que su equipo tenía que tener alguna clase de malware. Lo primero que hizo fue analizar su equipo con un antivirus y posteriormente realizar una copia de seguridad de todos los archivos cifrados. Con esto se aseguraba que si en un futuro contaba con alguna herramienta de descifrado, podría recuperarlos. Además, serían de utilidad al interponer la correspondiente denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado. Una vez finalizó de hacer la copia de seguridad, procedió a  restaurar la última que tenía almacenada en el disco externo.

Afortunadamente, Rober sabía que INCIBE disponía de un Servicio AntiRansomware que ayudaba a las víctimas de este tipo de malware a recuperar los archivos que les habían sido cifrados. Esto le vendría muy bien ya le daría alguna opción de recuperar el documento en el que estuvo trabajando durante todo el día y del que no disponía de copia. No perdió tiempo y se puso en contacto con este servicio, siguiendo los pasos que le fueron indicando:

  1. Contactar por medio de correo electrónico con el centro de respuesta a incidentes, correo.
  2. Adjuntar dos o tres ficheros adjuntos con un tamaño superior a 1MB, preferiblemente aquellos que tuvieran extensión .doc o .xls antes de ser cifrados, aunque podría utilizarse otro tipo de archivos.
  3. Adjuntar también el fichero en el que se indica cómo realizar el pago para recuperar la información, normalmente es un fichero .txt o .html.

Una vez envió el correo, procedió a denunciar el incidente ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para que pudieran investigar el delito, ofreciendo la copia de seguridad de los archivos cifrados por si fuera necesario para la investigación.

Al día siguiente Rober ya había recibido una respuesta del servicio AntiRansomware, quienes le facilitaron la herramienta con la que podría intentar descifrar sus archivos.

A pesar de que Rober es usuario de la OSI y está al tanto de los avisos de seguridad y suscrito a los boletines cualquiera puede cometer un error y ser víctima del ransomware, por lo que realizar copias de seguridad de forma periódica es la única garantía de recuperar los archivos cifrados.

¿Has sido víctima de un caso similar al detallado en esta historia real? Anímate y compártelo con el resto de usuarios.