Seguramente hayas oido hablar recientemente de un nuevo virus ransomware llamado Zeppelin que está sembrando el caos en Estados Unidos y Europa.

A continuación tienes toda la información para entender qué hace este virus, por qué es tan peligroso y por qué los rusos no tienen que preocuparse (por el momento).

¿Qué es un ransomware?

Los ransomware son virus o programas informáticos maliciosos que infectan los datos de las victimas de tal manera que resulta imposible recuperar la información a menos que se pague una cantidad económica específica.

Nunca se recomienda pagar el rescate ya que no existe ningún tipo de garantía de que realmente se recuperen los datos.

Ransomware Zeppelin

Investigadores de BlackBerry Cylance han descubierto recientemente una nueva y peligrosa variedad del conocido cryptolocker Vega denominada Zeppelin.

La diferencia más llamativa es que Vega solía tener como objetivo equipos situados en Rusia, sin embargo, zeppelin detiene inmediatamente su acción si el equipo infectado se encuentra situado en Rusia o regiones asociadas.

Por este motivo, al menos por ahora, los equipos situados en territorio ruso no corren peligro.

Desarrolladores del virus Zeppelin

Realmente es algo que se desconoce totalmente a día de hoy, sin embargo se especula que nada tienen que ver con los desarrolladores de Vega. Básicamente porque tienen como objetivo regiones totalmente opuestas.

Zeppelin está principalmente dirigido a empresas de informática y relacionadas con la salud.

Es por este motivo que las personas y empresas de Estados Unidos y Europa que pertenecen a dichos sectores tienen que tener especial cuidado con este tipo de amenazas y tomar medidas cuanto antes.

¿Cómo se infectan los equipos?

Desgraciadamente se desconoce el mecanismo concreto por el que los equipos se infectan. Las primeras especulaciones apuntan a que aprovechan vulnerabilidades en servidores de escritorio remoto pero realmente no se puede dar una respuesta segura al 100%.

¿Cómo actúa Zeppelin?

Depende de la configuración particular que tenga la aplicación pero en condiciones normales la ejecución comienza comprobando ciertos detalles de la victima.

Por defecto comprueba la ubicación del ordenador y en caso de encontrarse en Rusia, Ucrania, Belorusia o Kazakhstan el proceso se detiene automáticamente.

El ransomware permite varios parámetros de configuración como comprobar el idioma del sistema operativo, el prefijo numérico telefónico del país o  la dirección IP externa de la victima.

En caso de cumplir con los criterios establecidos en el virus, el proceso continúa instalándose en el equipo, deteniendo todos los servicios o procesos importantes del sistema como copias de seguridad y bases de datos.

A continuación se eliminan de forma automática todas las copias de seguridad de la victima y se procede a cifrar todos los datos de la computadora.

Los ficheros encriptados no son renombrados, pero se agrega como extensión una ID única del equipo con la que se identifica el ordenador de la victima.

El algoritmo de encriptación utilizado es el mismo utilizado por el Criptolocker Vega generando una clave de encriptación por cada fichero. Esta clave es necesaria para poder desencriptar posteriormente el fichero una vez pagado el rescate.

Una vez finalizado el proceso de encriptación se genera un fichero de texto plano que se abre de forma automática en un bloc de notas. El mensaje depende del ciberdelincuente y ya se han reportado varios mensajes totalmente diferentes.

En todos los casos se insta a las victimas a ponerse en contacto con el atacante mediante email informándole de la ID única del equipo.

También se informa de la cantidad que debe pagarse como rescate para recuperar los ficheros y en ciertos casos ofrecen la posibilidad de descifrar uno o dos ficheros de forma gratuita para que puedas comprobar que funciona antes de pagar (aunque no lo recomendamos).

ransomware

¿Cómo protegerse del virus Zeppelin?

Las medidas de seguridad que debes tomar para prevenir Zeppelin son las mismas que para cualquier otro ransomware.

En base a nuestra experiencia los puntos clave más importantes son:

  • Disponer de una política de backups avanzada. Debes contar con varios sistemas de copia de seguridad local, backup en la nube sin permiso de borrado remoto y además realizar copias de seguridad en discos duros externos rotativos que cambies cada día o cada semana. De esta manera te aseguras de que dispones de una copia de seguridad desconectada totalmente del servidor e internet.
  • Si te encuentras en un entorno con servidores virtuales debes utilizar siempre contraseñas diferentes para los equipos host y las máquinas virtuales, así como un software de backup específico como Veeam Backup o Nakivo.
  • Preferiblemente recomendamos virtualizar con VMWare las máquinas virtuales windows para protegernos ante posibles vulnerabilidades de Windows Server que puedan afectar al host y a las máquinas virtuales.
  • Evita el uso de escritorio remoto en la medida de lo posible. En caso de que sea una condición indispensable, instala un firewall que te permita conectarte de forma remota a través de una conexión VPN SSL para aumentar la seguridad.
  • Cambia regularmente tus contraseñas, no utilices la misma contraseña en diferentes lugares y usa contraseñas seguras con mayúsculas, minúsculas, números y carácteres especiales.
  • Si trabajas en una empresa, educa a tus compañeros para que tengan especial cuidado con los correos electrónicos fraudulentos y con los enlaces que se abren desde fuentes desconocidas.
  • Es recomendable disponer de un firewall con control de contenido y antivirus integrado ya que son capaces de filtrar una gran cantidad de amenazas y se actualizan con mayor velocidad que los sistemas operativos o aplicaciones.
  • Un antivirus de calidad siempre será una pequeña ayuda extra pero no debes confiarte ya que ningún antivirus detecta todas las posibles amenazas.
  • Elige un sistema de correo electrónico de calidad como Office 365 o Google GSuite ya que cuentan con los mejores sistemas de filtro anti-spam.
  • Mantén tu equipo actualizado y evita totalmente el uso de software ilegal.

Si te resulta complicado llevar el control de todos estos aspectos, ofrecemos un servicio completo de mantenimiento informático. Nosotros nos encargamos de instalar y configurar todo, te recomendamos las mejores soluciones para tu caso particular con la menor inversión posible y monitorizamos regularmente el estado de los equipos y de las copias de seguridad.

De esta manera estarás debidamente protegido y en caso de sufrir algún incidente, tendrás a tu disposición un equipo de profesionales debidamente capacitados con mecanismos y herramientas avanzadas que te permitirán recuperarte en tiempo record y sufriendo el mínimo daño posible.

¿Se pueden recuperar ficheros encriptados por Zeppelin?

Por el momento no se conocen herramientas que permitan recuperar los ficheros encriptados.

No obstante, si has sido víctima de este virus, te recomendamos visitar nomoreransom.org. Este sitio web está avalado por la Europol y cuenta con una gran base de datos actualizada de los diferentes ransomware y sus posibles soluciones en caso de existir.

También te recomendamos que leas toda la información disponible en la web del instituto nacional de ciberseguridad y que realices la denuncia pertinente.

En caso de que los datos sean de gran importancia, contacta con algún especialista en recuperación de datos para ver si pueden ayudarte.