Un virus secuestra documentos a cambio de rescate

uando entra en un ordenador, el virus troyano Zippo busca determinados archivos, como documentos Word, bases de datos u hojas de cálculo, y los transforma en archivos comprimidos que precisan una contraseña para acceder a ellos. A cambio de obtener esta palabra de paso, la víctima deberá pagar 300 dólares a una cuenta.

Estos virus son aún rudimentarios y no fue difícil que la empresa Sophos, después de analizarlo, descubriese dónde almacena la contraseña. Su antecesor, PGPCoder, que apareció en mayo de 2005, también tenía fallos, aunque su concepto estaba claro: cifraba los documentos y pedía un rescate por descifrarlos.

La fragilidad de los criptovirus reside en su novedad: no tienen plantillas en las que basarse, deben ser creados desde cero, lo que explica los errores iniciales. Según Cristian Borghello, director técnico de Eset Latinoamérica, "hasta ahora y por ser los primeros, los métodos de cifrado han sido sencillos y fácilmente reversibles. Además, el modo de utilización de cuentas bancarias aún no se ha perfeccionado, lo que permite rastrearlas de forma sencilla".

Pero los expertos están seguros de su proliferación futura, al conllevar ganancias económicas, principal motivación de la mayoría de creadores de virus: "Es fácil imaginar que cuando se perfeccionen usarán técnicas de cifrado fuertes, lo que imposibilitará el descifrado de los archivos. Es inevitable que este sistema de secuestro se perfeccione", explica Borghello.

El concepto de criptovirus es muy nuevo. Surgió en 1996, cuando los hermanos Adam y Moti Young desarrollaron la teoría que aunaba la virología y el cifrado. Permaneció como una hipótesis de laboratorio hasta que en 2005 apareció PGPCoder. La única defensa, además de usar antivirus, es realizar copias periódicas de seguridad.

Virus para Windows y Linux

En abril de 2006, Kaspersky Lab descubría un nuevo virus, Bi.a, que infecta ejecutables tanto de Windows como de Linux. A pesar del revuelo mediático, no es el primer virus de este tipo. Existían ya Smile o Winux, obra del grupo de creadores de virus 29A. Todos pruebas de laboratorio, más que virus reales.

Según Sergio de los Santos, de Hispasec Sistemas, "Bi.a es bastante inofensivo. Sólo se extiende sobre los archivos del directorio donde se ha ejecutado, no causa daño y no se auto-propaga a otros sistemas. No es más que el intento de alguien por demostrar que pueden existir estos "bichos"".

Su capacidad de infectar Linux es mínima, afirma: "El diseño de Linux impide casi por definición que un virus pueda reproducirse fácilmente o que pueda ser ejecutado de forma inadvertida por el usuario. Los virus para Linux, apenas unas decenas, poco activos y menos agresivos, han sonado más como curiosidades que por su capacidad de infección real".

A pesar de ello, Bi.a llamó la atención de Linus Torvalds, creador de Linux, quien lo examinó para conocer su alcance. Torvalds descubrió que un error del núcleo del sistema operativo impedía que el virus pudiese ejecutarse correctamente. Alertado así por el virus, corrigió el error del núcleo de Linux. Ahora el núcleo funciona bien y, como consecuencia paradójica, el virus puede infectarlo.


Referencias:

El troyano Zippo exige 300 dólares para recuperar datos encriptados
esp.sophos.com/pressoffice/news/articles/2006/03/zippo.html

Nuevas formas de hacer dinero ilegal: RansomWare
www.nod32-la.com/about/press.php?id=162

Nueva prueba de concepto capaz de infectar a Windows y GNU/Linux
www.hispasec.com/unaaldia/2734

Torvalds creates patch for cross-platform virus software.newsforge.com/software/06/04/18/1941251.shtml?tid=78&;tid=26

(*) Copyleft 2006 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.