11 mar 2016

22 Consejos para prevenir el #Ransomware

Tratar con las consecuencias de ataques de Ransomware es como jugar la ruleta rusa, donde enviar el pago del rescate es la única opción para recuperar la información bloqueada. Es justamente por eso que enfocarse en la prevención es la forma racional a adoptar.

El crecimiento del ransomware en los últimos años ha llevado a la industria de la seguridad a crear una miríada de herramientas aplicables para bloquear que este tipo de amenazas sean ejecutadas en las computadoras. Sin embargo pocas son 100% eficaces. Este artículo se centra en las medidas adicionales que los usuarios deben tomar para garantizar un nivel superior de defensa contra estas plagas.
  1. Primero y principal, asegúrese de respaldar periódicamente sus archivos más importantes.
    Idealmente, la actividad de respaldo debiera ser diversificada, de modo que la falla de un solo punto no provoque la pérdida irreversible de información. Almacene una copia en la nube, recurra a servicios como Dropbox; y las otras en medios físico fuera de línea, como por ejemplo un disco duro portátil removible.
    Una táctica eficiente es alternar los privilegios de acceso a los datos y fijar permisos de lectura/escritura, de modo que los archivos no puedan ser modificados ni borrados. Un consejo adicional es verificar la integridad de sus copias de respaldo de vez en cuando.
  2. Personalize sus ajustes de anti-spam de la forma correcta.
    La mayoría de las variantes de ransomware son conocidas por difundirse mediante correos que atrapan visualmente y que contienen adjuntos contagiosos. Una gran idea es configurar su servidor de webmail para bloquear adjuntos dudosos con extensiones como .exe, .vbs, .scr. [NT: también, .vbe, ,js, .jse, .bat, .cmd, .dll].
  3. No Abra Adjuntos que parezcan sospechosos.
    Esto se aplica no solo a los mensajes de gente desconocida sino de remitentes que usted cree que son sus conocidos. Los correos phishing pueden disfrazarse de notificaciones de servicios de encomiendas, algún comercio en linea, agencias de la ley, o instituciones bancarias.
  4. Piense dos veces antes de hacer clic.
    Puede recibir hipervínculos peligrosos por medio de redes sociales o mensajería instantánea, y probablemente enviados por gente de su confianza, incluyendo amigos o colegas. Para llevar a cabo estos ataques, los cibercriminales comprometen sus cuentas y envian los enlaces maliciosos a tanta gente como sea posible.
  5. La "Opción Mostrar las Extensiones de Archivos" también puede impedir las plagas de ransomware.
    Esta es una función nativa de Windows que le permite a uno ver que tipo de archivo está abriendo, de modo de poder distinguir claramente los tipo de archivos potencialmente peligrosos. Los estafadores pueden utilizar también una técnica que confunde donde a un solo archivo se le asignan varias extensiones.
    Por ejemplo, un archivo ejecutable puede parecer ser una imágen y tener la exensión .gif. Los archivos tambien pueden parecer tener dos extensiones, por ej. cute-dog.avi.exe o table.xlsx.scr – de modo que debe estar antento a este tipo de trucos. Otro vector autónomo es mediante documentos MS Word maliciosos con macros habilitadas.
  6. Parchee y mantenga actualizados su sistema operativo, antivirus, navegadores, Adobe Flash Player, Java y demás software.
    Este hábito puede impedir ser comprometido mediante kits de explotación.
  7. En el caso que detecte un proceso sospechoso en su computadora, apague de inmediato su conexión Internet.
    Esto es particularmente eficiente en una etapa temprana porque el ransomware no tendrá oportunidad de establecer una conexión con su servidor de Comando y Control (C&C) y por lo tanto no podrá completa la rutina de cifrado.
  8. Considere deshabilitar vssaexe
    Esta funcionalidad incluida en Windows para administrar el Servicio de Volume Shadow Copy es normalmente una herramienta práctica que puede ser usada para recuperar versiones anteriores de archivos arbitrarios. En el marco de la rápida evolución del malware de cifrado de archivos, sin embargo, vssadmin.exe se convirtió en un problema más que en un servicio beneficioso.
    Si está deshabilitado en un equipo, en el momento de ser comprometido, el ransomware fallará al usarlo para borrar las copias en el Shadow Volume. Esto implica que podrá usar VSS para recuperar los archivos cifrados.
  9. Mantenga siempre activo el Windows Firewall y correctamente configurado.
  10. Mejore más su protección configurando protecciones de Firewall adicionales.
    Hay algunos paquetes de seguridad con variadas capacidades de Firewall en sus características, pueden llegar a ser una gran agregado a las defensas contra una transgresión.
  11. Ajuste su software de seguridad para escanear archivos comprimidos o archivados, si esta opción está disponible
  12. Deshabilitar Windows Scripting Host puede se una medida preventiva eficiente también.
  13. Considere deshabilitar Windows Power Shell, que es un entorno de automatización de tareas.
    Manténgalohabilitado solo si es absolutamente necesario.
  14. Mejore la seguridad de sus componentes Microsoft Office (Word, Excel, PowerPoint, Access, etc)
    En particular desactive las macros y ActiveX. Además, bloquear el contenido externo es una técnica confiable para evitar que se ejecute código malicioso en la PC.
  15. Instalar complemento en el navegador para bloquear ventanas emergentes ya que pueden presentarse como un punto de entrada de ataques de troyanos del tipo ransom.
  16. Usar contraseñas fuertes que no puedan ser halladas por los criminales remotamente usando fuerza bruta.
    Use contraseñas fuertes únicas para distintas cuentas para reducir riesgos potenciales.
  17. Desactive Auto-Play
    De esta forma, no se lanzarán a funcionar automáticamente procesos peligrosos cuando inserte medios de almacenamiento externos como llaves USB u otro tipo de unidades.
  18. Asegúrese de deshabilitar los archivos compartidos.
    De esta forma, si sucediera que se infecta, la infección del ransomware quedará aislada solo a su máquina.
  19. Considere deshabilitar servicios remotos
    De otra forma la amenaza se propagaría a lo largo de la red de la empresa, generando por lo tanto peligrosos problemas de seguridad para el entorno de negocios si su computador es parte de ellos.
    Por ejemplo, el protocolo Remote Desktop puede ser abusado por los atacantes para ampliar la superficie de ataque.
  20. Apague conexiones inalámbricas que no usa, tales como bluetooth o puertos infrarrojos.
    Hay casos donde se han comprometido sigilosamente una máquina mediante bluetooth.
  21. Defina "Políticas de Restricción de Software" que impidan que archivos ejecutables corran cuando están es ubicaciones específicas del sistema.
    Las carpetas más comúnmente usadas para alojar procesos maliciosos son ProgramData, AppData, Temp, Windows\SysWow.
  22. Bloquee direcciones IP Tor maliciosas que son conocidas.
    Las pasarelas TOR (The Onion Router) son los medios principales que usa el ransomware para comunicarse con sus servidores de C&C. Por lo tanto, bloquearlas puede impedir que procesos maliciosos críticos se comuniquen.
EXTRA: instala algunas de estas herramientas para prevenir infección de ransomware.
Debido que el ransomware es hoy el peligro número uno debido al daño que causa y su prevalencia, las contramedidas enumeradas son una necesidad. De otra forma sus archivos más importantes podrían perderse por completo.

La recomendación clave, sin embargo, es aquella respecto de los respaldos - fuera de linea o en la nube. En este escenario, la recuperación consiste en eliminar el troyano ransom y recuperar la información del almacenamiento de respaldo. Actualmente, lidiar con las consecuencias del ransomware no tiene una perspectiva de descifrarlos muy prometedora. Es por eso que frustrar el ataque del virus puede ahorrarle mucho dinero y garantizarle tranquilidad.

Traducción: Raúl Batista - Segu-Info
Autor: David Balaban
Fuente: The State of Security

Suscríbete a nuestro Boletín

2 comentarios:

  1. Hola a todas y todos ...

    Me parece que la implementacion de los consejos solo son posibles para un usuario avanzado, un usuario comun "naufraga" cuando llega al punto 2.

    Saludos.

    ResponderBorrar
  2. El punto 7, *En el caso que detecte un proceso sospechoso en su computadora, apague de inmediato su conexión Internet* lo cambiaría por *En el caso que detecte un proceso sospechoso en su computadora, desconecte inmediatamente el cable de conexión Internet.*. Desde mi óptica, desconectar la pc podría causar la pérdida de algún log o rastro para saber desde dónde viene ese proceso sospechoso. En cambio, si la desconectamos de la red, podemos hacer una investigación con más elementos a nuestro favor.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!