Antes de nada, por si alguien no ha odio hablar de esta amenaza hacemos un pequeño resumen.
Qué es Cryptolocker?
Es un software que se distribuye de varias formas (correo, enlaces de descarga, etc ) y para varios sistemas operativos como Windows o MacOSX. El software una vez descargado y activado, se convierte en malware al cifrar los archivos a los que tengamos acceso de modificación ya sean locales, de la red local, incluso algunas variantes de las cabinas de almacenamiento (SAN).
Ejemplo de correo fraudulento de compañia de correos:
Mas información aquí -> http://www.satinfo.es/noticies/2015/nuevo-ataque-de-cryptolocker-que-se-recibe-en-falso-mail-de-correos/
Una vez que el software ha cifrado un gran número de archivos, solicita un rescate normalmente en Bitcoins o vales de prepago, para darte acceso a la clave de desencriptación y así permitirte descifrar los ficheros encriptados y recuperarlos.
Qué hacer si estas infectado?
Bien aquí existen varias soluciones, “lo más importante es no pagar” no aceptar chantajes ya que nadie te garantiza que después de pagar puedas recuperar los ficheros.
Las opciones más comunes serían:
- Utilizar herramientas proporcionadas por las compañías de antivirus, estas suelen tardar un par de días después de cada nueva variante.
- Recuperar versiones anteriores de los archivos integrada con Windows.
- Utilizar shadow explorer para ver versiones ocultas de archivos.
En este apartado recomiendo un artículo de nuestros colegas de windowsinsider.es , en el cual especifican como desinfectarte con varias herramientas.
Como evitar ser infectado por cryptolocker y variantes en Windows ? Que podemos hacer?
Actualmente es muy difícil por los antivirus prevenir este tipo de malwares, ya que los anexos o ficheros descargados no son malware como tal, sino simplemente un programa de encriptación los antivirus no hacen mucho hasta que se ha detectado una variante, esto puede tardar un par de días y es por esto que han generado mucho daño.
Debemos ser proactivos, sobretodo en el entorno profesional. Tenemos que actuar antes de que un ordenador infecte toda nuestra red. Por lo que he visto pocos se preocupan por este aspecto, ya que las típicas recomendaciones para evitar cryptolocker son no abrir adjuntos de correo, o sospechar de este tipo de correos de compañías. Nosotros intentaremos dar una solución antes de que ocurra.
- Si estamos en un entorno Profesional generar una política de grupo:
- Sabemos que las rutas de infección dependiendo del sistema operativo.
- Normalmente los usuarios cuando reciben este tipo de archivos son ZIP, y al hacer doble click abren el programa que tengamos para ejecutar los ficheros comprimidos, es aquí donde debemos de evitar que ejecuten el fichero .exe .
Rutas de infección suelen ser C:\Usuarios\usuariosesion\Appdata\Romaning\ y C:\Documents and Settings\Usuariosesion\Application Data\ . Los Temporales de zips y los programas más comunes son 7zip, winzip, winrar, zip de windows::
Por lo que haremos una regla que impida que se ejecuten programas dentro de las rutas de %AppData%\*.exe y %AppData%\*\*.exe
Por lo que haremos una regla que impita que se ejecuten ficheros de las siguientes rutas %Temp%\*.zip\*.exe %Temp%\wz*\*.exe %Temp%\7z*\*.exe %Temp%\Rar*\*.exe
Mediante el gestor de polticias de grupo las podemos hacer de en esta ubicación.
De tal modo que la política quedaría de esta manera.
- Si estamos en un entorno casero, podemos generar una política de grupo mediante gpedit.msc desde la siguiente ruta:
Estos mecanismos no impiden que el usuario pueda infectarse en el 100% de los casos, pero añade una capa manual al proceso que seguramente impedirá a muchos usuarios infectarse. Si algún usuario “avanzado” descomprime el zip en el escritorio y ejecuta el fichero exe , estará infectado.
7 Comentarios
Lo que no puedo entender es por qué eso no viene ya activado de serie.
Es como el DEP. Desde el segmento de datos no se puede ejecutar código. Desde las carpetas temporales y la caché de IE no se pueden ejecutar programas.
Bueno supongo que Microsoft por defecto, no quiere impedir que se ejecute un punto exe dentro de un zip, ya que puede traer inconvenientes para algunas personas.
Tambien el contenido del appdata, puede ser que sea utilizado por algun instalador de aplicaciones.
Supongo que es como todo, prefieren facilidad de uso a poner bloqueos etc.
Son cosas que no entiendo.
En OS X, si tu haces doble clic en un ZIP, se decomprime. En Windows entras dentro de él, con lo que mucha gente se confunde. A veces lo sencillo es lo mejor.
Pues podrían negar la ejecución de programas no firmados digitalmente por una entidad de confianza, o bajados desde el correo…
El instalador de Google se instala así, desde la propia caché del IE, y mete el instalador en el APPDATA y a veces, si no puede instalarse globalmente, lo hace en el propio APPDATA del usuario, peeeeeeero, es un instalador/ejecutable firmado digitalmente por Google…
No sé, Microsoft debería pensarse mejor esas cosas.
(Y si eres tan muñones de que te saltas todos los avisos que te da el ordenador, pues sinceramente, te jodes)
Lo de los programas en el correo, ya esta implementado . Pero claro si te envian una url que es desde donde bajar el programa no sirve
Lo de programas no firmados, puede generar problemas, ya que existen muchos programas no firmados que se usan a diario .
Precisamente creo que esto Micorosft lo tiene pensado y no lo activa por defecto para ahorrar problemas.
Creo desde el outlook 2003 , ya te avisa de rpogramas sostechosos y sí las extensiones son exe o com directamente blqouea el contenido. , ahora bien si te envian un zip con contraseña esta protección no es valida.
Excelente!
Muy interesante.
No sabía yo esto. Muchas gracias