4 jun 2016

Cómo evitar que un ransomware cifre los archivos en Windows (I)

El ransomware es un tipo de malware que emplea cifrado asimétrico para secuestrar la información de la víctima y solicitar un rescate. El cifrado asimétrico (clave pública) es una técnica criptográfica en la que se utilizan un par de claves para cifrar y descifrar un archivo. El delincuente genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave privada para descifrar los archivos en su servidor. La víctima solamente podrá acceder a la clave privada tras el pago de un rescate al agresor, aunque tal y como se ha podido comprobar en campañas recientes de ransomware, esto no siempre sucede así. Sin acceso a la clave privada, resulta prácticamente imposible descifrar los archivos por los que se exige un rescate.

Evita el secuestro de tus datos

La mayoría de las campañas de ransomware empiezan por un mensaje de correo electrónico de phishing. Con el paso del tiempo, han ganado en sofisticación, y ahora muchas están específica y meticulosamente diseñadas en el idioma local de las víctimas a las que van dirigidas.

Ejemplos:
  • AusPost y Office of State Revenue (Australia)
  • Royal Mail (Inglaterra)
  • DHL (Austria y Alemania)
  • Česká pošta (República Checa)
  • TTTNet ( Turquía)
  • SDA (Italia)
  • Correos (España)
CryptoLocker, TorrentLocker, CryptoWall, CTB-Locker, ZeroLocker, TeslaCrypt, el sentido común es nuestro amigo. Correos no suele enviar email para avisarnos de la llegada de una carta certificada, suele ser el cartero quien nos deja un aviso en el buzón de nuestra casa. Si encontramos más de dos faltas gramaticales claras deberíamos empezar a sospechar.

Pero además al entrar a la supuesta página de Correos veremos en la barra de direcciones del navegador como el dominio no tiene nada que ver con Correos.es aunque en el e-mail y la página web aparezcan los logos de correos. Es un claro ejemplo de phishing (suplantación de identidad). Ya está bien de tomar el pelo a personas con menos conocimientos informáticos que no saben diferenciar entre una página real y una falsa.

¿Estas seguro del nombre de dominio? Estar seguro de que entran en el dominio correcto verificando el nombre de dominio. Muchas veces los atacantes utilizan nombres similares, que difieren en una letra y lo hacen esperando un error de escritura del usuario, como por ejemplo escribir Facebok en lugar de Facebook o bien utilizan subdominios muy largos.

Listado actualizado de Ransomware con sus extensiones

A continuación un listado de ransonware conocidos, el tipo de cifrado utilizado y la herramienta de descifrado (si la hay): http://blog.segu-info.com.ar/2016/06/recopilacion-de-todos-los-ransomware-y.html

Consejo básico de seguridad en Windows: mostrar la extensión real de un archivo

Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

Para abrir Opciones de carpeta, haga clic en el botón Inicio, en "Panel de control", en Apariencia y personalización y, por último, en "Opciones de carpeta". Haga clic en la ficha "Ver" y, a continuación, en "Configuración avanzada" y desactive la casilla "Ocultar las extensiones" de archivo para tipos de archivos conocidos y, a continuación, haga clic en "Aceptar".
  • Antes: .pdf
  • Ahora mostrará: .pdf.exe

¿Cómo evitar o prevenir infección con CryptoWall o CryptoLocker?

  1. Herramientas específicas Anti-ransomware (ver abajo)
  2. Editor de directivas locales y de grupo (Group Policy Object, GPO)
  3. Usando el dministrador de recursos del servidor de archivo en Windows 2012

Herramientas específicas de protección (Anti-Ransom)

Cryptostalker

Sean Williams, un desarrollador de San Francisco, creó un proyecto muy interesante llamado randumb que contenía un ejemplo al que bautizó como Cryptostalker y que, básicamente, monitoriza la creación o escritura de archivos en el sistema con datos aleatorios por medio de un análisis mediante frecuencia y asimetría (histograma). Si los archivos contienen datos aleatorios puede ser una señal de la actividad de un proceso de cifrado de un ransomware, por lo que la herramienta es ideal para alertar al usuario de forma temprana.

Además, recientemente ha sido portado a Go sustituyendo iNotify por fsNotify de Google para las notificaciones. Funciona perfectamente en Linux y OSX aunque está pendiente probarlo más en Windows.

Su nuevo repositorio es: https://github.com/unixist/cryptostalker

Editor de directivas locales y de grupo (Group Policy Object, GPO)

Se pueden utilizar los grupos de Windows o el editor de directivas locales para crear directivas de restricción de software que bloquean los ejecutables que se inician cuando se encuentran en rutas específicas. Para obtener más información sobre cómo configurar directivas de restricción de software.

Las rutas de los archivos que han sido utilizados por esta infección son:
  • C:\Users\\AppData\Local\.exe (Vista/7/8)
  • C:\Users\\AppData\Local\.exe (Vista/7/8)
  • C:\Documents and Settings\\Application Data\.exe (XP)
  • C:\Documents and Settings\\Local Application Data\.exe (XP)
  • %appdata%\*.exe
  • %appdata%\*\*.exe
  • %localappdata%\*.exe
  • %localappdata%\*\*.exe
Con el fin de bloquear CryptoLocker podemos crear reglas para las rutas en las que no se permite la ejecución de archivos. Para crear estas directivas de restricción de software, añadiendo las políticas de forma manual usando el editor de directivas de seguridad local o el editor de directivas de grupo.

Nota: Si estás utilizando Windows Home o Windows Home Premium, no tendrás disponible el editor de directivas de seguridad local.
Con el fin de crear manualmente las directivas de restricción de software necesitas usar Windows Professional, Bussiness, Enterprise o Ultimate, o Windows Server. Si quieres establecer estas políticas para un determinado equipo puedes usar el editor de directivas de seguridad local. Si vas a aplicar estas políticas para todo un dominio, entonces necesitas utilizar el editor de directivas de grupo.

Para abrir el editor de directivas de seguridad local, haz click en el botón Inicio y escribe "Directiva de seguridad local", para después seleccionar el resultado de la búsqueda que aparece. Para abrir el editor de directivas de grupo, escribe "Directiva de grupo" en su lugar. En esta guía veremos el editor de directivas de seguridad local en los ejemplos.

Una vez la pantalla está abierta, expande Configuración de seguridad y, a continuación haz clic en la sección de directivas de restricción de Software. Si no ves nada en el panel de la derecha (como se muestra arriba), tendrás que añadir una nueva política. Para ello haz clic en el botón Acción y selecciona Nuevas políticas de restricción de Software. Esto habilitará la directiva para que aparezca el panel de la derecha. Después, debes hacer clic en la categoría Reglas adicionales, e ir al panel derecho, donde seleccionaremos Nueva regla de ruta… A continuación, agregamos una regla de ruta para cada uno de los elementos enumerados a continuación.

Si las directivas de restricción de software causan problemas al intentar ejecutar aplicaciones legítimas, mira esta sección sobre cómo habilitar aplicaciones específicas.

A continuación se presentan algunas reglas de ruta que se sugieren, no solo para bloquear las infecciones sin más, si no también para bloquear los archivos adjuntos que se ejecuten al abrir un cliente de correo electrónico.

Bloquear ejecutable CryptoLocker en %AppData%
  • Ruta: %AppData%\*.exe
  • Security Level: Disallowed
  • Descripción: Don't allow executables to run from %AppData%.Bloquear ejecutable CryptoLocker en %LocalAppData%
  • Ruta usando Windows XP: %UserProfile%\Local Settings\*.exe
  • Ruta usando Windows Vista/7/8: %LocalAppData%\*.exe
  • Security Level: Disallowed
  • Descripción: Don't allow executables to run from %AppData%.
Bloquear ejecutable Zbot en %AppData%
  • Ruta: %AppData%\*\*.exe
  • Security Level: Disallowed
  • Descripción: Don't allow executables to run from immediate subfolders of %AppData%.
  • Block ejecutable Zbot en %LocalAppData%
  • Ruta con Windows XP: %UserProfile%\Local Settings\*\*.exe
  • Ruta Windows Vista/7/8: %LocalAppData%\*\*.exe
  • Security Level: Disallowed
  • Descripción: Don't allow executables to run from immediate subfolders of %AppData%.
  • Bloquear ejecutables de un archivo adjunto abierto con WinRAR:
  • Ruta en Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
  • Ruta en Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
  • Security Level: Disallowed
  • Descripción: Block executables run from archive attachments opened with WinRAR.
Bloquear ejecutables de un archivo adjunto abierto con 7zip:
  • Ruta en Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
  • Ruta en Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
  • Security Level: Disallowed
  • Descripción: Block executables run from archive attachments opened with 7zip.
  • Bloquear ejecutables de un archivo abierto con WinZip:
  • Ruta en Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
  • Ruta en Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
  • Security Level: Disallowed
  • Descripción: Block executables run from archive attachments opened with WinZip.
  • Bloquear ejecutables de ficheros adjuntos usando compresor de Windows:
  • Ruta para Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
  • Ruta para Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
  • Security Level: Disallowed
  • Descripción: Block executables run from archive attachments opened using Windows built-in Zip support.

Continua en Cómo evitar que un ransomware cifre los archivos en Windows (y II)

Fuentes:

Suscríbete a nuestro Boletín

6 comentarios:

  1. Interesante artículo. Principalmente la alternativa para configurar el sistema sin dependen de un aplicativo. Con respecto a la configuración de políticas o directivas de equipo, me parece que el formato de los pasos listados hace que no se entienda bien cómo realizarlos. Si me permiten acá está el link de la fuente, apuntando directamente a esa sección. http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information#manual

    ResponderBorrar
  2. Este artículo está muy interesante. Yo lo culminaría aconsejando, tener siempre instalado un programa antivirus.

    ResponderBorrar
  3. excelente artículo felicitaciones a los de seguinfo

    ResponderBorrar
  4. Excelente artículo. Tan bueno que ya lo puse en práctica...

    ResponderBorrar
  5. Buenas, otra alternativa que hay que considerar, es trabajar en la nube directamente. Sin tener los archivos en el ordenador. Así, si todo falla, estará la información a salvo.
    Por ejemplo, con https://dataprius.com que es un gestor de archivos como una intranet virtual. Si entra el virus maligno ese, atacará lo que pueda, pero no sabe llegar a la nube.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!