RANSOMWARE WIN OSX NIX

RANSOMWARE WIN OSX NIX

Ante el ultimo boom de ransomware y las causas que lo promueven, existen varias medidas que pueden tomar dependiendo del sistema operativo y el estado del problema.

Si ya estas infectado:

¡No pagar el secuestro!

 

Esto incita a continuar este tipo de actividades. Si no crees que esto es razón suficiente, recuerda que estos criminales atacaron hospitales y otras instituciones de cuidado y salud. Para ser honesto esto parece más estupidez que maldad, dada la explosiva manera en que se expandió y su numero limitado de accesos a portales de pago. Esto hace difícil la parte de recibir pagos, más aun cumplir con su parte de liberar archivos, y a su vez hace fácil el rastreo de los autores. Como sea, el consejo es no promover la estupidez o la maldad.

 

Desconectar de la red (sacar el cable Ethernet del desktop o poner laptop en modo avión). 

 

Contactar a un experto.

 

Solo apagar el equipo en casos extremos (por ejemplo, si no tienen respaldo de la información). Contrario a la creencia popular apagar el equipo no es siempre la mejor opción, aunque si podría salvar algunos archivos. Nuevas versiones de ransomware usan técnicas meticulosas con fin de lograr su objetivo, como usar solo memoria RAM y no alojarse en archivos. En casos anteriores que me encontré con ransomware, hubo eventos donde encontré los archivos del malware y existían decryptors (programas que recuperan los archivos secuestrados). Incluso en unos casos fue posible analizar el virus por ingeniería inversa y extraer la clave necesaria para recuperar los archivos. Al apagar el equipo, la memoria RAM queda en cero, eliminando todo rastro del virus y consigo varias pistas de como proceder con la recuperación. Algunos se preguntan “porque no apagar de todas formas, eliminar el virus y volver sin reinstalar”. Varios de estos malware explotan entradas que permiten instalar elementos aun peores, como rootkits, por lo que es mejor es eliminar todo y recuperar desde respaldos.

Prevenir infecciones:

Esta sección debería ser bastante mas larga pero con el fin de ser preciso y breve, lo mejor es respaldar la información y actualizar.

 

En Windows, el parche que previene la infección del ultimo foco esta disponible desde marzo (para el infame WCry, o también Wana Crypt0r u otros). Como otro ejemplo, recientemente me he encontrado con gamers usando tarjetas de video Nvidia que no han actualizado los drivers desde diciembre 2016, lo cual permite acceso remoto a la máquina. Actualizar es importante, y ahora circulan por las noticias las razones por lo que no se recomienda demorarlas. De esta información, mucha se publico hace ya meses pero en canales poco convencionales por un grupo de hackers, por lo que voy a escribir textos informativos para mantenerlos al tanto.

 

Para Macintosh OS X también existen problemas. Uno de los recientes ransomware emblemáticos viene por medio de aplicaciones como Transmission o uTorrent (clientes P2P), por lo que si te gusta ver películas de fuentes “alternativas” en el sistema operativo que “no tiene virus”, piensa de nuevo. De todas formas una solución simple y rápida (pero no 100% efectiva) podría venir por medio de programas que bloquean ransomware. Dado que este tipo de malware requiere encriptar archivos, programas como RansomWhere? (objective-see.com/products/ransomwhere.html) pueden bloquear cualquier intento de encriptar y secuestrar tus archivos. Algunas limitantes incluyen aspectos como función reactiva (comienza a funcionar cuando ve archivos encriptados, vale decir dos o tres archivos serán sacrificados por el bien mayor). Para Windows existía CryptoMonitor pero fue comprado por Malwarebytes, quien lo incluye en su antivirus version pagada o demo de 14 días. Otras soluciones de buen funcionamiento son también comerciales, pero estén al tanto por próximas recomendaciones gratuitas.

Empresas:

Dentro de Linux, cada cual tiene su solución favorita. Algunos simplemente copian sus archivos a una carpeta del sistema y usan un usuario sin privilegios, por lo que una infección solo podría tomar la carpeta del usuario (la que respaldaron dentro del sistema). Esta solución no es ideal en empresas con servidores ya sea Windows o Linux, por lo que se recomiendan soluciones más avanzadas.

Hoy en día todo negocio debería contratar un servicio de seguridad informática o por lo menos periódicamente un analista (“pentester” o hacker licenciado), pero si necesitan una solución inmediata pueden implementar un honeypot con monitoreo, ademas de las otras recomendaciones. En equipos corporativos puede no ser posible actualizar inmediatamente, por lo que la solución temporal seria desactivar SMBv1/CIFS. Para el monitoreo se pueden utilizar de manera interna chequeo de extensiones y servicios, y de manera externa protocolos y dominios (ejemplo, WCry busca el domino iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com pero es importante recordar que es trivial cambiar este tipo de características con tal de hacer un nuevo malware).

2017-05-16T16:17:17+00:00 Mayo 14th, 2017|News, Seguridad Informática|0 Comments

About the Author:

Leave A Comment