Ya lo he dicho antes pero lo repito: los virus son un problema del pasado y la prueba es que hay pocas notas sobre este tema en los sitios dedicados a la tecnología. Los que curiosamente mandan comunicados de prensa son las empresas anti-virus que salen siempre con advertencias sobre terribles virus, aunque parece más bien una campaña para poder seguir vendiendo sus respectivos programas de protección contra virus.
Sin embargo, aunque los virus sean cada vez menos (y la razón es que hay un número finito de formas de infectar una computadora), nunca está de más el protegerse con alguna de las tantas herramientas que hay en el mercado. Sé que Windows tiene un programa que se llama Defender. Yo, por ejemplo, uso la versión gratuita de AVG y no he tenido problemas de virus desde hace años.
Sin embargo, lo que se ve con cierta regularidad son personas que haciéndose pasar por el SAT, las AFORES, la CFE, entre otros, mandan supuestamente “documentación” en Word o PDF, en donde se nos avisa de irregularidades fiscales, pagos no hechos a la CFE o cambios en la AFORE. Y aunque dicen ser documentos son muchas veces programas en Javascript que bien podrían ejecutarse en un navegador automáticamente. Es obvio que ni el SAT,la CFE o las AFORES, son quienes mandan esos mensajes. Es fácil detectarlos porque las direcciones de correo o enlaces no tienen nada que ver con las instituciones o empresas mencionadas.
Por ello, hay que andarse siempre con cuidado. Ahora se dice que ha salido un programa en Javascript llamado RAA, el cual se manda por correo electrónico en donde se pretende esconder como un documento. Hacerlo en Javascript puede ser conveniente en algunos casos y los creadores buscan que algún usuario no muy avezado descargue el documento y se ejecute, haciendo que sus archivos se cifren con la consecuente amenaza de nunca poder recuperarlos, a menos que paguen el “rescate”.
Se reporta que los usuarios de Twitter, que son investigadores de seguridad, @JAMES_MHT y @benkow_ hallaron RAA, en donde los creadores usaron CryptoJS, una biblioteca para hacer cifrado AES y cifrar así los datos de las víctimas. Un investigador de Malwarebytes, Jerome Segura, dijo que usar Javascript es una novedad, pues aunque no es nuevo, no es un método usado todos los días por los creadores de virus. Cabe señalar que el ransomware no es un virus, porque no tiene la función de infectar otras máquinas, sino que más bien es simplemente un programa que cifra la información de la computadora y solamente puede descifrarse si se les paga el rescate (normalmente en bitcoins, para que no puedan ser trazados por las autoridades).
Abrir el archivo RAA hace que se ejecuten una serie de pasos que no solamente cifran la información de la víctima, sino que descargan más malware a la computadora objetivo. El archivo adjunto no parece hacer nada y aparece como un archivo corrompido, pero en la trastienda está haciendo su sucio trabajo, incluso el borrar la copia Shadow para que no se puedan recuperar los archivos. Además, cada vez que se enciende la máquina busca qué nuevos archivos puede cifrar.
La solución no es muy difícil. Hay que decirle al programa de correo que no permita abrir archivos de Javascript, por ejemplo. De todas maneras hay que sospechar de todos y más cuando la información que en esta época es tan valiosa, es susceptible de ser borrada, cifrada, o sujeta a las maldades de unos delincuentes con información.
Referencias: ScMagazine