Compte amb els virus!

  • El consultor informàtic Joan jofra ens explica avui a l'Internauta algunes maneres d'actuar quan tenim l'ordinador infectat

VilaWeb
Joan Jofra
15.04.2016 - 22:00

Arriba la primavera i amb ella les al·lèrgies. Unes al·lèrgies que el nostre ordinador també pateix. De què és al·lèrgic, us pregunteu? Doncs dels missatges de correu infectats de virus! Veurem què hi podem fer, per identificar-los i sobretot extreure’ls. Just ara fa un any ja us en parlava: podeu consultar l’article de l’abril del 2015 a la pàgina de Pensalla.cat.

Quin profit en treuen, els ‘fabricants’ de virus?

Aquests és sens dubte la primera gran pregunta que ens solem plantejar respecte als virus. I la resposta és que els objectius han anat evolucionant amb el temps:

–Inicialment, els autors volien que en parlessin, ésser portada dels diaris. Com va passar amb el Melissa, encara que l’autor, David Smith, fou condemnat a deu anys de presó i va complir vint mesos.

–Alguns es feien per recopilar adreces de correu per a enviar-hi spam.

–Uns altres eren creats per tenir una xarxa d’ordinadors sota les seves ordres.

–O per al robatori industrial, o per aturar l’activitat d’una empresa o la seva pàgina web: per exemple, el virus Stuxnet va aconseguir d’endarrerir el desenvolupament nuclear de l’Iran.

–I, actualment, amb l’anomenat ‘ransomware’, els creadors d’aquesta mena de sofisticats virus ho tenen clar: és un segrest de les dades del nostre ordinador, que queden encriptades i no hi podem accedir tret que paguem diners en canvi.

El mes de març passat ha enregistrat, justament, les dades més altes d’atacs de ‘ransomware’ i, especialment, d’atacs amb èxit, segons ESET (fabricant de productes de seguretat). Els virus de ‘ransomware’ més perillosos actualment són:

–CTB-Locker: encripta fitxers i només permet de desencriptar-los durant les primeres 96 hores. Ara és molt actiu a França i Espanya, i és el successor del CryptoLocker i el CryptoWall.

–TeslaCrypt: torna a ésser actiu al Japó i als països nòrdics d’Europa i té la peculiaritat que afecta només ordinadors que tenen jocs ( RPG Maker, Call of Duty, Dragon Age, StarCraft, MineCraft, World of Warcraft, World of Tanks, Steam…).

–Petya: encripta el disc dur.

–Locky: encripta fitxers si tu el deixes, atès que és un Word que et demana que activis les macros. Si ho fas, llavors es pot descarregar el programa de virus que encripta els teus fitxers i posa de fons de pantalla les instruccions per a fer el pagament. És un dels virus més ben programats i que utilitza tots els recursos tècnics al seu abast. Per als més curiosos, aquí teniu el document d’Avast que l’analitza i que té la llista de més de cent seixanta països on ha arribat ja el Locky. Els deu països més atacats són: França, Itàlia, Alemanya, Espanya, els EUA, la Gran Bretanya, Polònia, el Japó, la República Txeca i el Canadà.

–KeRanger: específic per a MacOS X, accedeix a l’ordinador via un client de BitTorrent, Transmission, infectat i signat amb un codi oficial de desenvolupador d’Apple.

En el món dels virus amaga grans curiositats. Les primeres versions del TeslaCrypt tenien un error de programació i es podien recuperar els fitxers, però una nova versió 3.0 (del gener del 2016) va corregir l’error i ja no es poden recuperar sense pagar.

Del Petya, si encara no n’heu sentit a parlar, ja us n’arribaran notícies perquè els alemanys sí que n’han sentit a parlar i no n’estan gens contents: encripta la Mster File Table (MFT) o el Master Boot Record (MBR) i és molt ràpid. No tens temps de reaccionar i deixa l’equip absolutament mort, fins el punt que necessites recórrer a un altre ordinador per poder pagar!

Els sistemes anteriors d’encriptació de fitxers els encriptaven un a un. Per això, si veies una alta ocupació de l’ordinador, el podies apagar i s’aturava. El Petya, en canvi. ja no et deixa temps de resposta.

Petita història dels virus

Els històrics de sempre, que vull explicar molt ràpidament, són el PingPong, Viernes13, Casino, ILoveYou, Chernobyl i l’espanyol Barrotes. Pràcticament tots es reproduïen amb un disquet.

El Viernes13 es va crear el 1987 a Jerusalem i per això també era conegut amb aquest nom, Jerusalem: el divendres 13 esborrava el programa o els programes que s’intentaven executar aquell dia.

El PingPong va ser descobert el 1988 a la Universitat de Torí: era un virus que s’executava amb MS-DOS, en un equip sense gràfics, i que feia sortir una piloteta a la pantalla si s’accedia al disc dur exactament a les mitges hores. La primera versió només residia en un disquet i la segona ja s’incorporava al disc dur.

El Casino, escrit el 1991 per a MS-DOS, esborrava la FAT, és a dir, et deixava sense el contingut del disc dur, i s’executava els dies 15 de gener, 15 d’abril i 15 d’agost. Quan havia esborrat les dades et deixava jugar una partida a Jackpot (semblant a la de les màquines escurabutxaques) i a la versió Casino-C: si guanyaves, és a dir, si obtenies tres L de Lucky, et restablia les dades; si perdies o aturaves l’ordinador, ja no hi havia manera de recuperar-les.

El Barrotes té el dubtós honor de ser el virus espanyol més conegut. Va aparèixer el 1993, infectava l’ordinador i quedava resident fins el 5 de gener, quan s’activava i pintava unes barres a la pantalla. Els programadors de virus també s’equivoquen i la versió Barrotes.1463 intentava d’esborrar fitxers el 22 de cada mes, però era programat per activar-se el dia 34.

Probablement el virus més greu va ser el Chernobyl, creat el 1998 a Taiwan. En sols una setmana era en molts ordinadors i infectava fitxers crítics i, fins i tot, la BIOS del sistema, cosa que t’obligava a llençar la placa base. Yamaha va vendre un CD-ROM infectat de fàbrica i IBM una partida d’ordinador Aptiva infectats, o Activison, un joc infectat des de fàbrica, i això va ajudar a difondre’l molt.

Un dels primers virs per mail va ser el Melissa, que va arribar, segons estimacions, al 15% o 20% dels ordinadors del món. Va néixer el 26 de març de 1999 i quan rebies el mail, si tenies Microsoft Outlook ell mateix es reenviava a cinquanta usuaris de l’agenda de contactes.

I un altre de molt famós, que arribava per mail també, va ser l’ILoveYou, creat el 2000 a les Filipines. Va arribar a infectar el Pentàgon. El mail portava annex un fitxer amb una carta d’amor que era un executable VBS (Visual Basic Script), que es dedicava a infectar i canviar fitxers .jpg i .mp3, principalment.

Actualment, els més coneguts i perillosos són els de ‘ransomware’: CriptoLocker, CryptoWall, CTB-Locker, TeslaCrypt, Petya i Locky.

Com ens arriba i què fa?

Gairebé sempre ens arriba per correu. El Petya, per exemple, arriba en una oferta de feina que es transforma en una gran feinada per a recuperar les dades.

També pot arribar per visites a pàgines web infectades (en molts casos, el navegador Chrome de Google avisa que entren en un lloc perillós).

Quan s’executa a l’ordinador del pobre usuari es connecta a la seva ‘central’ i envia les dades de l’ordinador per poder crear el sistema de desencriptació. El servidor remot crea una clau RSA de 2048 bits, l’envia i el programa comença a encriptar fitxers, crea una còpia dels que s’han d’encriptar, els encripta amb la clau pública i esborra els originals.

La manera més segura de saber que tenim el nostre ordinador infectat és perquè surt un missatge a la pantalla demanant-nos el pagament!

Solucions

En primer lloc, pareu immediatament l’ordinador i en un altre de no infectat creeu un CD o un USB autoexecutable i executeu un localitzador i netejador de virus.

Per exemple, SpyHunter i també aquí: la versió de detecció és gratuïta, la de neteja costa 35 euros. Això només et treu el programa del virus i aconsegueix que no torni a fer malbé les nostres dades. El pas següent és recuperar les dades que hem perdut.

Per recuperar les còpies, els backups són imprescindibles. Recordeu tenir-ne un fora de casa o de les oficines. Per exemple, el Crashplan: alguns ordinadors permeten de recuperar les còpies ocultes (versions) que fa Windows automàticament (si teniu un sistema modern, actiu i no les ha encriptades també el virus).

Una opció desesperada és pagar. Els creadors del virus ja es preocupen que les recuperis, és el seu ‘bon nom comercial’. Segons que es comenta, una de les darreres víctimes del virus Samsam han estat els de MedStar Health, amb deu hospitals a Washington DC, i han pagat 18.500 dòlars $ en bitcoins. Ara la norma és que estem en els 500 dòlars i tres dies: si no paguem en els primers tres dies el preu puja a 1.000 dòlars i tenim una setmana per a pagar (CryptoWall). Però no us penseu que pagar és fàcil: heu d’instal·lar Tor al vostre ordinador i aconseguir els bitcoins necessaris.

Els de CTBLocker, com a senyal de bona fe, et donen una clau abans de pagar que deixa desencriptar uns quants fitxers, perquè te’n refiïs.

I els de Petya, sembla que demanen 0,99 bitcoins, aproximadament 430 dòlars.

Protecció

Un primer pas per a protegir-nos és un bon antivirus. El d’Avast  és gratuït en la seva versió més senzilla, però suficient, i presumeixen de tenir 230 milions d’ordinadors protegits, 186 països i 43 idiomes.

Un sistema eficaç per a protegir-nos del virus Locky és tenir el sistema operatiu en rus, cosa que t’assegura que no t’infectaràs.

Les vacunes específiques per a un virus són poc efectives. Els ‘fabricants’ troben molt ràpidament la manera de saltar-se-les. Són, per tant, una solució a curt termini quan es detecta un atac en massa, però al cap de pocs dies ja n’hi ha una nova versió que se salta la vacuna. Per exemple, la de cryptoWall que van fer els de Bitdefender el novembre del 2015 ja no serveix per a res i els mateixos fabricants en desaconsellen l’ús.

Cal tenir un servidor de mail amb un bon sistema antivirus que aturi els virus abans d’arribar al vostre ordinador.

També cal educar els usuaris a no obrir ni fer clics de missatges desconeguts. Avui ja no fem clic si ens arriba un ILoveYou, perquè ja sabem que és una manera d’enredar-nos, però hem de saber tots els altres sistemes d’enredar-nos i no obrir mails d’origen desconegut.

I, sobretot, cal tenir còpies de seguretat sempre! I millor al núvol, perquè els virus no hi poden accedir.

Si després de tot això encara no us veieu capaços de guarir-vos d’un virus, ja sabeu que els informàtics una mica vivim d’això: no dubteu a portar l’ordinador a un professional… i no us creieu allò que diuen que els virus, els inventen els informàtics per tenir feina!

Us proposem un tracte just

Esperàveu topar, com fan tants diaris, amb un mur de pagament que no us deixés llegir aquest article? No és l’estil de VilaWeb.

La nostra missió és ajudar a crear una societat més informada i per això tota la nostra informació ha de ser accessible a tothom.

Això té una contrapartida, que és que necessitem que els lectors ens ajudeu fent-vos-en subscriptors.

Si us en feu, els vostres diners els transformarem en articles, dossiers, opinions, reportatges o entrevistes i aconseguirem que siguin a l’abast de tothom.

I tots hi sortirem guanyant.

per 6€ al mes

Si no pots, o no vols, fer-te'n subscriptor, ara també ens pots ajudar fent una donació única.

Si ets subscriptor de VilaWeb no hauries de veure ni aquest anunci ni cap. T’expliquem com fer-ho

Recomanem

Fer-me'n subscriptor