A menudo indicamos que, si queremos estar protegidos de todo tipo de ataques informáticos, es imprescindible tener un buen antivirus instalado en nuestro ordenador. Windows Defender, por ejemplo, es el antivirus que viene instalado por defecto en Windows 10. Y también podemos optar por otras soluciones, como Kaspersky o Bitdefender. Sin embargo, por muy bueno que sea nuestro antivirus, hay técnicas diseñadas para saltarse su seguridad, como el abuso de la función EFS de Windows, que está haciendo que el nuevo ransomware sea indetectable.

EFS es una de las funciones nativas de Windows que permite a los usuarios cifrar archivos y carpetas específicas con una clave simétrica, la cual posteriormente se cifra con una segunda clave asimétrica. Tanto el cifrado como el descifrado se realizan por debajo del sistema de archivos NTFS, lo que brinda máxima seguridad y mejor rendimiento.

Esta función lleva disponible en Windows desde la versión 2000, aunque es exclusiva de las ediciones profesionales. A diferencia de BitLocker, que cifra toda la unidad, File Encryption Key cifra exclusivamente archivos y carpetas.

 

Cómo se aprovecha el ransomware de EFS

Los investigadores de seguridad que han dado con esta técnica han comprobado que, efectivamente, la mayor parte de los antivirus del mercado, no son capaces de detectar los ransomware que hacen uso de la función EFS. Por muy avanzado que sea su motor anti-ransomware.

Los piratas informáticos pueden generar una clave para usar con EFS, y a continuación un certificado para dicha clave. Se incluye la clave dentro del certificado y se carga en la memoria. A continuación se empieza a hacer uso de la función EFS de Windows para cifrar los archivos y a eliminar todo rastro que haya podido quedar de dicha clave y del proceso de generación.

Cuando acaba de cifrar los archivos, se cifra la clave usada en EFS con una clave asimétrica y se envía al servidor del atacante. Así, si el usuario quiere recuperar los datos tiene que pagar por la clave privada para poder descifrar los datos. De lo contrario, será imposible recuperar la clave EFS.

​

Todas estas pruebas se han realizado en laboratorios, en entornos virtuales y aislados. Y han sido un éxito. Aunque los investigadores de seguridad no han dado pistas sobre el proceso, es muy probable que en poco tiempo empecemos a ver serias amenazas de seguridad que se aproveche de esta función de Windows para evadir a los antivirus.

 

Cómo proteger nuestro ordenador

Lo primero que debemos tener en cuenta es que si estamos usando una edición Home de Windows no tenemos de qué preocuparnos. La función de EFS no está disponible para nuestro PC. Para comprobar si tenemos esta función, y si está habilitada, abrimos las propiedades de cualquier carpeta, elegimos «Opciones avanzadas», y nos fijaremos si la opción «Cifrar contenido para proteger datos» está disponible.

​

Si queremos protegernos del ransomware que abusa de esta característica, lo que debemos hacer es deshabilitarla por completo en nuestro sistema operativo. Para ello abriremos el registro de Windows y nos desplazaremos hasta el siguiente directorio:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS\

Aquí cambiaremos el valor de la entrada «EfsConfiguration» por «1». Si no existe el valor (DWORD de 32 bits), lo creamos.

También podemos ir al siguiente directorio:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies

Y en él crear un nuevo valor llamado «NtfsDisableEncryption» y darle el valor «1».

Eso sí, esto solo es factible si no usamos el cifrado EFS. Si lo usamos, o tenemos carpetas cifradas que solemos usar, no podemos desactivar esta función.

Algunos antivirus, como Kaspersky, ya han incluido funciones para detectar este tipo de amenazas, aunque la mayoría de los antivirus aún no cuentan con ellas. Por ello, si podemos asumirlo, es mejor deshabilitar la función y no confiar plenamente en el antivirus.

Los consejos básicos de seguridad, como evitar descargar archivos de sitios web pirata o de dudosa fiabilidad, junto con no abrir ningún archivo (ni PDF, ni documentos ni nada) que pueda venir a través del USB nos ayudará a reducir la probabilidad de terminar infectados.