Acerca de...
El equipo
Encuestas
Política de privacidad
WinTablets

Encuesta

¿Cual crees que triunfará?

Ver Resultados

Cargando ... Cargando ...

últimas entradas importantes

Categorías

Archivos

19
May 2015
Seguridad y malware

Como evitar CryptoLocker y sus variantes Ransomwares

Antes de nada, por si alguien no ha odio hablar de esta amenaza hacemos un pequeño resumen.

crypto

Qué es Cryptolocker?

Es un software que se distribuye de varias formas (correo, enlaces de descarga, etc ) y para varios sistemas operativos como Windows o MacOSX. El software una vez descargado y activado, se convierte en malware al cifrar los archivos a los que tengamos acceso de modificación ya sean locales, de la red local, incluso algunas variantes de las cabinas de almacenamiento (SAN).

Ejemplo de correo fraudulento de compañia de correos:

correosMas información aquí -> http://www.satinfo.es/noticies/2015/nuevo-ataque-de-cryptolocker-que-se-recibe-en-falso-mail-de-correos/

Una vez que el software ha cifrado un gran número de archivos, solicita un rescate normalmente en Bitcoins o vales de prepago, para darte acceso a la clave de desencriptación y así permitirte descifrar los ficheros encriptados y recuperarlos.

Qué hacer si estas infectado?

Bien aquí existen varias soluciones, “lo más importante es no pagar” no aceptar chantajes ya que nadie te garantiza que después de pagar puedas recuperar los ficheros.

Las opciones más comunes serían:

  • Utilizar herramientas proporcionadas por las compañías de antivirus, estas suelen tardar un par de días después de cada nueva variante.
  • Recuperar versiones anteriores de los archivos integrada con Windows.
  • Utilizar shadow explorer para ver versiones ocultas de archivos.

En este apartado recomiendo un artículo de nuestros colegas de windowsinsider.es , en el cual especifican como desinfectarte con varias herramientas.

Como evitar ser infectado por cryptolocker y variantes en Windows ? Que podemos hacer?

Actualmente es muy difícil por los antivirus prevenir este tipo de malwares, ya que los anexos o ficheros descargados no son malware como tal, sino simplemente un programa de encriptación los antivirus no hacen mucho hasta que se ha detectado una variante, esto puede tardar un par de días y es por esto que han generado mucho daño.

Debemos ser proactivos, sobretodo en el entorno profesional. Tenemos que actuar antes de que un ordenador infecte toda nuestra red. Por lo que he visto pocos se preocupan por este aspecto, ya que las típicas recomendaciones para evitar cryptolocker son no abrir adjuntos de correo, o sospechar de este tipo de correos de compañías. Nosotros intentaremos dar una solución antes de que ocurra.

  • Si estamos en un entorno Profesional generar una política de grupo:
  1. Sabemos que las rutas de infección dependiendo del sistema operativo.
  2. Normalmente los usuarios cuando reciben este tipo de archivos son ZIP, y al hacer doble click abren el programa que tengamos para ejecutar los ficheros comprimidos, es aquí donde debemos de evitar que ejecuten el fichero .exe .

Rutas de infección suelen ser C:\Usuarios\usuariosesion\Appdata\Romaning\  y C:\Documents and Settings\Usuariosesion\Application Data\  . Los Temporales de zips  y los programas más comunes son 7zip, winzip, winrar, zip de windows::

Por lo que haremos una regla que impida que se ejecuten programas dentro de las rutas de %AppData%\*.exe y  %AppData%\*\*.exe

Por lo que haremos una regla que impita que se ejecuten ficheros de las siguientes rutas  %Temp%\*.zip\*.exe  %Temp%\wz*\*.exe  %Temp%\7z*\*.exe  %Temp%\Rar*\*.exe

Mediante el gestor de polticias de grupo las podemos hacer de en esta ubicación.

crypto3

De tal modo que la política quedaría de esta manera.

 

crypto4

  • Si estamos en un entorno casero, podemos generar una política de grupo mediante gpedit.msc desde la siguiente ruta:

cryptocasa

Estos mecanismos no impiden que el usuario pueda infectarse en el 100% de los casos, pero añade una capa manual al proceso que seguramente impedirá a muchos usuarios infectarse. Si algún usuario “avanzado” descomprime el zip en el escritorio y ejecuta el fichero exe , estará infectado.

Por Netboybcn | 7 Comentarios | Etiquetas: | Enlaza esta entrada

7 Comentarios

RFOG
Enviado el 19/05/2015 a las 12:22 | Permalink

Lo que no puedo entender es por qué eso no viene ya activado de serie.

Es como el DEP. Desde el segmento de datos no se puede ejecutar código. Desde las carpetas temporales y la caché de IE no se pueden ejecutar programas.

    Enviado el 20/05/2015 a las 07:43 | Permalink

    Bueno supongo que Microsoft por defecto, no quiere impedir que se ejecute un punto exe dentro de un zip, ya que puede traer inconvenientes para algunas personas.
    Tambien el contenido del appdata, puede ser que sea utilizado por algun instalador de aplicaciones.

    Supongo que es como todo, prefieren facilidad de uso a poner bloqueos etc.

      RFOG
      Enviado el 20/05/2015 a las 09:15 | Permalink

      Son cosas que no entiendo.

      En OS X, si tu haces doble clic en un ZIP, se decomprime. En Windows entras dentro de él, con lo que mucha gente se confunde. A veces lo sencillo es lo mejor.

      Pues podrían negar la ejecución de programas no firmados digitalmente por una entidad de confianza, o bajados desde el correo…

      El instalador de Google se instala así, desde la propia caché del IE, y mete el instalador en el APPDATA y a veces, si no puede instalarse globalmente, lo hace en el propio APPDATA del usuario, peeeeeeero, es un instalador/ejecutable firmado digitalmente por Google…

      No sé, Microsoft debería pensarse mejor esas cosas.

      (Y si eres tan muñones de que te saltas todos los avisos que te da el ordenador, pues sinceramente, te jodes)

        Enviado el 20/05/2015 a las 11:25 | Permalink

        Lo de los programas en el correo, ya esta implementado . Pero claro si te envian una url que es desde donde bajar el programa no sirve ;)
        Lo de programas no firmados, puede generar problemas, ya que existen muchos programas no firmados que se usan a diario .

        Precisamente creo que esto Micorosft lo tiene pensado y no lo activa por defecto para ahorrar problemas.

        Creo desde el outlook 2003 , ya te avisa de rpogramas sostechosos y sí las extensiones son exe o com directamente blqouea el contenido. , ahora bien si te envian un zip con contraseña esta protección no es valida.

Enviado el 19/05/2015 a las 12:41 | Permalink

Excelente!

Enviado el 19/05/2015 a las 13:06 | Permalink

Muy interesante.

nomelocremix
Enviado el 20/05/2015 a las 15:55 | Permalink

No sabía yo esto. Muchas gracias

Deja un comentario  

Tu email nunca se publica o se comparte. Los campos obligatorios están marcados con *

*
:wink: :-| :-x :twisted: :) 8-O :( :roll: :-P :oops: :-o :mrgreen: :lol: :idea: :-D :evil: :cry: 8) :arrow: :-? :?: :!:
Puedes usar las siguientes etiquetas y atributos HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.

contacto@wintablet.info tema WinTablet.info por Ángel García (Hal9000)