Clop es un virus de la categoría ransomware descubierto por Jakub Kroustek. Este software malicioso está diseñado para cifrar datos y renombrar cada archivo con la extensión “.Clop”. Por ejemplo, “sample.jpg” pasaría a llamarse “sample.jpg.Clop”, etc. Tras completar con éxito el cifrado, Clop genera un archivo de texto (“ClopReadMe.txt”) y coloca una copia en todas las carpetas. Este archivo contiene un mensaje en el que se exige el pago de un rescate.
Por regla general, los ciberdelincuentes afirman que los archivos de la víctima están cifrados y que solo ellos son capaces de restaurarlos. Por desgracia, esto es cierto No se sabe aún si Clop usa criptografía simétrica o asimétrica. Sin embargo, en ambos casos a cada víctima se le asigna una clave única de descifrado que se necesita para recuperar los datos. El problema está en que todas las claves se almacenan en un servidor remoto controlado por los ciberdelincuentes. Por tanto, para recibir la clave de descifrado (o la herramienta de descifrado con la clave incorporada), las víctimas han de pagar un rescate. Para ello, las víctimas tienen que contactar primero con los ciberdelincuentes a través de una dirección de e-mail facilitada. El precio no se especifica en el archivo de texto, todos los datos se facilitan por e-mail; en función de la rapidez con la que se contacte con esos individuos, se fija el precio. No obstante, cabe resaltar que casi siempre el precio oscila entre $500 y $1500 en Bitcoins, Ethereum, Monero, DASH u otra criptomoneda. Se permite también a las víctimas adjuntar algunos archivos seleccionados (hasta 5MB en total y no puede contener “información útil”) que serán descifrados y devueltos a la víctima como garantía de que se puede uno fiar de los ciberdelincuentes. No importa lo bajo o alto del precio, nunca debería pagar. Según las investigaciones, una gran mayoría de los desarrolladores de ransomware ignoran a sus víctimas una vez que se realizan los pagos. Por ese motivo, le recomendamos encarecidamente ignorar todas las peticiones para contactar con esas personas y realizar pagos. Lamentablemente, no existen herramientas capaces de “crackear” la encriptación de Clop para recuperar los archivos de forma gratuita. La única solución es restaurarlo todo desde una copia de respaldo.
Internet está llena de virus encriptadores que comparten similitudes con Clop. Pluto, FileSlack, CryCipher, Maoloa son solo unos cuantos ejemplos de una larga lista. Como Clop, esos virus encriptan también datos y hacen peticiones de rescate. En realidad, los virus de tipo ransomware presentan solo dos diferencias importantes: 1) cuantía del rescate y 2) tipo de algoritmo encriptador usado. Por desgracia, la mayor parte usa algoritmos que generan claves únicas de desencriptación. Por tanto, a no ser que el virus tenga ciertos errores/fallos (p. ej. la clave está integrada en el código o almacenada de forma local) o esté siendo programado, no será posible desencriptar los archivos manualmente (sin la intervención de los desarrolladores). Por este motivo, le recomendamos encarecidamente mantener copias de seguridad con frecuencia y almacenarlas en un servidor remoto (p. ej. la nube) o un dispositivo de almacenamiento extraíble (p. ej. pen-drive, disco duro externo o similar). Las copias de seguridad que se almacenen de forma local pueden encriptarse fácilmente junto con cualquier archivo.
Actualmente no se sabe exactamente cómo estos desarrolladores propagan Clop. No obstante, casi siempre los delincuentes usan los siguientes métodos: troyanos, actualizadores falsos de software, cracks, fuentes no oficiales de descarga de software y campañas de spam. Los troyanos son aplicaciones maliciosas que, una vez infiltradas, inyectan software malicioso adicional en el sistema. Las herramientas de actualización de software falso infectan el sistema aprovechándose de errores en versiones de software antiguas o instalando malware en vez de la aplicación seleccionada. Los programas pirateados permiten activar software de pago gratuitamente. Sin embargo, en vez de obtener acceso a funciones de pago, los usuarios acaban instalando virus de todo tipo. Las fuentes de descarga no oficiales presentan a menudo ejecutables maliciosos como software legítimo, por lo que engañan a las víctimas para que descarguen e instalen software malicioso. Las campañas de correo spam propagan varios adjuntos maliciosos. Los ciberdelincuentes envían miles de correos electrónicos que contienen mensajes engañosos instando a los usuarios a que abran los adjuntos. Sin embargo, al hacer esto, se acaba infectando el sistema con malware.
Para prevenir esta situación, es necesario saber que los dos motivos principales por las que se infecta el equipo son un conocimiento insuficiente y un comportamiento imprudente. Con otras palabras, tenga mucho cuidado al navegar por internet y es imprescindible descargar, instalar y actualizar software del equipo. Piénseselo dos veces antes de abrir adjuntos o enlaces en correos. Si el archivo o enlace parece irrelevante o el correo del remitente es sospechoso, no abra nada. Recomendamos descargar el software solo de fuentes oficiales a través de enlaces directos de descarga. Los instaladores o descargadores de terceros incluyen a menudo (empaquetan) programas dudosos y estas herramientas no deberían usarse. Lo mismo sirve para las actualizaciones de software. Es muy importante mantener las aplicaciones actualizadas (así como el sistema operativo). Sin embargo, esto debería hacerse con funciones o herramientas integradas proporcionadas por el desarrollador oficial. También le recomendamos dejar de usar herramientas de pirateo de software debido a dos motivos: 1) el uso de software pirata está considerado un ciberdelito, estará robándole literalmente a desarrolladores de software y 2) hay un alto riesgo de infección informática porque tales herramientas suelen usarse para propagar software malicioso. Asimismo, asegúrese de tener instalada una solución antivirus o antiespía reputable en funcionamiento porque tales herramientas detectan y eliminan muy probablemente el software malicioso antes de que pase algo malo. Si su equipo está infectado ya con Clop, le recomendamos ejecutar un análisis con Combo Cleaner para eliminarlos de forma automática.
