Cómo evitar que un ransomware cifre los archivos en Windows (y II)

Leer la primera parte: Cómo evitar que un ransomware cifre los archivos en Windows

Cómo protegerse contra Cryptolocker en Windows 2012

Vamos a implementar una solución basada en el Administrador de recursos del servidor de archivos (File Server Resource Manager), conjunto de herramientas que permite administrar la cantidad y el tipo de datos almacenados en los servidores. Esta opción está disponible de manera gratuita en Windows Server 2012, añadiendo simplemente las características correspondientes dentro del servidor de ficheros.

El Administrador de recursos del servidor de archivos es un conjunto de herramientas de Windows Server 2008 que permite a los administradores entender, controlar y administrar la cantidad y el tipo de datos almacenados en los servidores. Los administradores pueden utilizarlo para asignar cuotas a carpetas y volúmenes, realizar un filtrado activo de los archivos y generar informes de almacenamiento exhaustivos. Este conjunto de instrumentos avanzados no sólo permite al administrador supervisar los recursos de almacenamiento existentes, sino que además le ayuda a planear e implementar futuros cambios de directivas.

En el nodo Administración del filtrado de archivos del complemento MMC del Administrador de recursos del servidor de archivos, puede realizar las siguientes tareas:

• Crear filtros de archivos para controlar los tipos de archivos que los usuarios pueden guardar y generar notificaciones cuando los usuarios intenten guardar archivos no autorizados.
• Definir plantillas de filtrado de archivos que puedan aplicarse a nuevos volúmenes o carpetas y que pueden utilizarse en toda una organización.
• Crear excepciones de filtrado de archivos que amplíen la flexibilidad de las reglas de filtrado de archivos.

Por ejemplo, puede:

• Garantizar que no se almacenen archivos de música en las carpetas personales de un servidor y, al mismo tiempo, permitir el almacenamiento de tipos concretos de archivos multimedia que admitan la administración de derechos legales o que cumplan las directivas de la compañía. En el mismo escenario, puede que desee conceder a un vicepresidente de la compañía privilegios especiales para almacenar cualquier tipo de archivos en su carpeta personal.
• Implementar un proceso de filtrado para enviarle una notificación por correo electrónico cada vez que se almacene un archivo ejecutable en una carpeta compartida, que incluya información del usuario que almacenó el archivo y la ubicación exacta de éste, de modo que puedan tomarse las medidas preventivas pertinentes.

Cómo monitorizar ficheros dentro de un servidor Windows 2012

Comenzaremos en la selección de roles de servidor, seleccionando el administrador de recursos:

El concepto a desplegar es sencillo: monitorizar los ficheros dentro del servidor. Para ello, introduciremos una serie de extensiones maliciosas empleadas por el malware para cifrar los archivos, poniendo un "señuelo" en esas carpetas para que en caso de infección, se detecte el proceso y se detenga.

Lo primero que debemos hacer es tener una lista de extensiones empleadas por el malware más o menos actualizadas.

Pongamos como punto de partida este listado:

*.*AES256, *.*cry, *.*crypto, *.*darkness, *.*enc*, *.*kb15, *.*kraken, *.*locked, *.*nochance, *.*oshit, *.*exx, *@gmail_com_*, *@india.com*, *cpyt*, *crypt*, *decipher*, *install_tor*.*, *keemail.me*, *qq_com*, *ukr.net*, *restore_fi*.*, *help_restore*.*, *how_to_recover*.*, *.ecc, *.exx, *.ezz, *.frtrss, *.vault, *want your files back.*, confirmation.key, enc_files.txt, last_chance.txt, message.txt, recovery_file.txt, recovery_key.txt, vault.hta, vault.key, vault.txt, *.aaa, *help_your_files*.*

En el Administrador de recursos creamos un grupo de archivos que incluya este tipo de extensiones:

El siguiente paso es crear una plantilla de actuación, en la que definiremos el comportamiento deseado ante la detección de un fichero con la extensión mencionada:

Una de las opciones básicas es configurar un mensaje y cuenta de correo para notificar el incidente:

A continuación sería una buena idea escribir un evento en el registro de Windows para reenviar posteriormente a un sistema de correlación SIEM o simplemente para efectos de control.
Claro que no solo queremos detectar una posible infección por ransomware, sino que queremos prevenir o mitigar las temidas consecuencias. Para ello, habilitamos una sesión de comandos al encontrar un cambio en los ficheros:

El comando o los comandos que podemos ejecutar mediante este "disparador" o monitor son infinitos.

Podemos optar por apagar el servidor de ficheros, bloquear el acceso al usuario de red que ha intentado modificar los ficheros (el malware), o bloquear la dirección IP de entrada al servidor desde el equipo que origina la infección.

Particularmente prefiero apagar el servidor. Esto dejará a los usuarios sin servicio, pero es una manera radical de evitar la infección.

Por último, configuramos dónde queremos que se aplique el filtro:

Tenemos que ser conscientes de que este servicio de monitorización consume recursos en el sistema, y que en grandes entornos con miles y millones de ficheros podría producir penalizaciones en el rendimiento del servicio.

Para ello empleamos un pequeño truco. En los sistemas Windows el guion bajo (­_) es el primer carácter que aparece en una ordenación, por lo que creamos una carpeta con este nombre y será la que sea monitorizada.

A efectos prácticos en caso de producirse una infección, el proceso de cifrado comienza por la carpeta "señuelo".

En un entorno real, se produce un lapsus de tiempo entre que el malware comienza a cifrar la carpeta señuelo, ejecuta el comando deseado (apagar) y se apaga el equipo o se ejecuta cualquiera otra opción, por lo que tenemos que contar con 5/10 ficheros cifrados.

Este es un pequeño defecto en el concepto, aunque en un entorno de millones de ficheros es un mal menor, que seguro estamos dispuestos a pagar por evitar el temido cifrado del servidor de ficheros.

Para terminar, podemos ver cómo se ha producido el correspondiente registro en el visor de eventos. En esta prueba, un simple cambio manual de nombre de fichero:

Windows: GPO para prevenir Cryptolocker

Podemos utilizar GPOs para fortificar la configuración e intentar evitar la ejecución de Cryptolockers.

Para ello, utilizaremos las Software Restriction Policies (SRP). Encontraremos la posibilidad de configurar directivas SRP como GPOs de equipo o usuario:

Podemos configurar GPOs SRP que bloqueen extensiones en rutas. Una GPO SRP de bloqueo de rutas, el bloqueo se efectuará independientemente de los permisos NTFS asignados en la ruta.

Deberemos personalizar la GPO con las exclusiones necesarias según nuestro entorno: aplicaciones instaladas, sistema operativo, descompresor utilizado, etc

Vista completa de la GPO SRP texto: User Configuration (Enabled) > Policies > Windows Settings > Security > Settings > Software Restriction Policies

Fuentes:

• https://josecarlosnietoramos.wordpress.com/2015/01/30/como-evitar-que-el-ordenador-se-infecte-con-cryptolocker/
• http://www.welivesecurity.com/la-es/2016/04/12/evitar-ransomware-cifre-servidor-de-ficheros-w2012/
• http://www.hackplayers.com/2016/04/de-como-protegerse-contra-cryptolocker-2.html
• http://www.sysadmit.com/2015/04/windows-gpo-para-prevenir-cryptolocker.html
• http://blog.elhacker.net/2016/04/como-evitar-prevenir-que-un-ransomware-cifre-secuestre-los-ficheros-archivos-en-servidor-windows.html

Suscríbete a nuestro Boletín