Reviviendo PCs antiguos.
25/02/2016¡Repara tus equipos GRATIS!
21/10/2016En los últimos días se han presentado reportes de un «virus» que encripta toda tu información como documentos office, aplicaciones, bases de datos SQL, etc ademas cambia la extensión del archivo por algo como .XHMS (letras al azar) o .LOCKY
Se trata de un virus secuestrador de equipos que se distribuye a través de archivos maliciosos .doc adjuntos a mensajes basura de correo electrónico de remitentes conocidos. Este documento Word contiene textos codificados que parecen ser macros. Una vez que el usuario habilita los macros en el programa Word, se descarga un ejecutable (el virus criptográfico). Lo que sucede luego es que se encriptan varios archivos. Es notorio que Locky cambie los nombres de todos los archivos por 16 letras y dígitos únicos con la extensión de archivo .locky (.zepto), de ahí que resulte casi imposible identificar los ficheros. Todos ellos son encriptados con un algoritmo RSA-2048 y AES-1024; por tanto, se requiere de una clave privada (que se encuentra almacenada en los servidores remotos controlados por los ciberdelincuentes) para llevar a cabo la desencriptación. Para desencriptar los archivos propios, la víctima debe pagar un rescate.
Cuando los archivos han sido encriptados, Locky crea un archivo .txt. dentro de cada carpeta que tenga archivos encriptados. Para colmo, este virus criptográfico cambia el fondo de pantalla del escritorio. Ambos archivos de texto y el fondo de pantalla reproducen el mismo mensaje que informa al usuario sobre la encriptación. Se asegura que los archivos pueden ser solo desencriptados con un desencriptador desarrollado por los ciberdelincuentes que cuesta 0.5 BitCoins (en la fecha de consulta, 0,5 BTC equivalían a 207,63 $). Para ello, la víctima debe instalar el navegador Tor y hacer clic en el enlace facilitado en los archivos de texto/fondo de pantalla. El sitio web contiene instrucciones paso a paso para efectuar el pago. Cabe resaltar que Locky elimina todas las copias shadow de los archivos. En la fecha de consulta, no existía ninguna herramienta capaz de desencriptar los archivos afectados por Locky, por tanto, la única solución que tiene este problema es restaurar los archivos a partir de una copia de seguridad previamente realizada.
Lo malo es que muchos antivirus no lo pueden eliminar y si llegan a dar alguna advertencia la gran mayoría de los usuarios la pasan por alto y sin querer autorizan «la destrucción de su información».
ACTUALIZACION
Al día de hoy resulta que no solo es posible ejecutarse a traves de un correo electrónico y mediante ejecución manual si no que también nos han llegado reportes de que los equipos se infectan a causa de la ejecución de un script que un hacker lo corre remotamente aprovechando la vulnerabilidad de windows y los puertos de escucha 3389 (escritorio remoto) sea en las versiones de escritorio o server, en los casos especificos de poseer direccion IP Estatica con conexion a escritorio remoto.
Lastimosamente existen también muchos oportunistas que tratan de aprovecharse de la ocasión que les ofrecen la «solucion» ya sea instalando un software antispyware o sistemas de pago de remoción en linea que no sirven para nada.
SOLUCION
La verdad es que NO EXISTE una forma fiable de recuperar los datos afectados y lo único que funciona en estos casos es la prevención, si no tuviste la precaución de respaldar tus datos no pierdas mas el tiempo ni dinero en soluciones inútiles.
AVAST Antivirus ofrece 11 herramientas (tool remove) para desencriptar los archivos afectados por el RASOMWARE, cada uno aplicable a una variante por fecha o un tipo de cifrado especifico, sigue sin ser una solución definitiva pero al menos existe una probabilidad. —Desencriptar datos—
PREVENCION
1. Haz un backup periódico de tus datos
La única herramienta y la más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. Si te ataca un ransomware podrás perder ese documento en el que comenzaste a trabajar esta mañana, pero si puedes restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde tu backup los documentos que estaban infectados, estarás tranquilo.
Debes considerar realizar respaldos redundantes en 2 niveles por lo menos, es decir respaldar tu información hacia otro equipo en forma diaria y este consolidado subirlo a la nube saltando un día.
Toma en cuenta que NO FUNCIONA si tienes el disco duro externo conectado permanentemente en tu equipo o si sueles copiar tu información en otra partición del mismo equipo, porque este virus también cifra archivos en unidades asignadas. Esto incluye todos los discos externos como las memorias USB, así como los espacios de almacenamiento en la red o en la nube para los que haya una letra de unidad asignada. Por lo tanto, lo que debes hacer es llevar un régimen periódico en un disco externo o servicio de backup, que no tenga asignada ninguna letra de unidad o que se pueda desconectar mientras no está haciendo el backup. Encontrarás más información en nuestra Guía de Backup.
Los siguientes tres consejos tienen que ver con la forma en que Cryptolocker se comporta, aunque es posible que no sea el caso de manera indefinida, pero aún así pueden ayudar a incrementar tu seguridad en general mediante pequeñas acciones, y evitar una variedad de técnicas de malwarecomunes.
2. Muestra las extensiones ocultas de los archivos
Con frecuencia, una de las maneras en que se presenta Cryptolocker es en un archivo con extensión “.PDF.EXE”, aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Si desactivas la casilla correspondiente, podrás ver la extensión completa de cada uno y será más fácil detectar los sospechosos.
3. Filtra los archivos .EXE del correo electrónico
Si tu sistema cuenta con una herramienta que permite filtrar adjuntos por extensión, puedes configurarlo para rechazar los correos que tengan archivos “.EXE” o con doble extensión, donde la última sea la del ejecutable (seleccionar los archivos “*.*.EXE” al configurar el filtro). Si necesitas intercambiar archivos ejecutables dentro de tu entorno y configuraste el sistema para rechazar los de tipo “.EXE”, igual podrás hacerlo convirtiéndolos a ZIP (protegidos por contraseña, por supuesto) o mediante servicios en la nube.
4. Deshabilita los archivos que se ejecutan desde las carpetas AppData y LocalAppData
Puedes crear reglas en Windows o mediante el software de prevención de intrusiones para bloquear un comportamiento en particular, típico de Cryptolocker: el hecho de que ejecuta su archivo .EXE desde la carpeta App Data o Local App Data. Si por alguna razón tienes un softwarelegítimo configurado para ejecutarse desde el área de App Data en vez de hacerlo desde Archivos de programa, deberás crear una excepción para esta regla.
5. Deshabilita RDP
El malware Cryptolocker/Filecoder en general accede a las máquinas mediante el Protocolo de escritorio remoto (RDP, por sus siglas en inglés), una utilidad de Windows que les permite a terceros obtener acceso a tu equipo de escritorio en forma remota. Si no necesitas usar el protocolo RDP, puedes deshabilitarlo para proteger tu máquina de Filecoder y otros exploits RDP. Para ver las instrucciones, consulta el artículo correspondiente de Microsoft Knowledge Base.
6. Instala las revisiones y actualizaciones de tu software
Los siguientes dos consejos son más generales y sirven tanto para Cryptolocker como para cualquier otra amenaza de malware. Los cibercriminales con frecuencia se basan en que las personas usan software desactualizado con vulnerabilidades conocidas, lo que les permite usar un exploit e ingresar silenciosamente al sistema.
Si te haces el hábito de actualizar tu software con frecuencia, reducirás significativamente la posibilidad de convertirte en víctima del ransomware. Algunos fabricantes lanzan actualizaciones de seguridad periódicas de rutina, como por ejemplo Microsoft y Adobe, pero también existen actualizaciones adicionales no programadas para casos de emergencia. Siempre que sea posible, habilita las actualizaciones automáticas, o ve directamente al sitio web del fabricante, ya que a los creadores de malware también les gusta hacer pasar sus creaciones como actualizaciones desoftware.
7. Usa un paquete de seguridad confiable
Siempre es una buena idea tener un software antimalware y un firewall que te ayuden a identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes para evadir la detección, por lo que es importante contar con ambas capas de protección.
En la actualidad, la mayoría del malware se basa en recibir instrucciones remotas para llevar a cabo sus actividades maliciosas. Si te cruzas con una variante de ransomware tan nueva que logra pasar el software antimalware sin que la detecte, es posible que quede bloqueada por el firewall cuando intente conectarse con su servidor de Comando y Control (C&C) para recibir instrucciones sobre el cifrado de tus archivos.
Si te encuentras en una posición en la que ya ejecutaste el archivo del ransomware sin ninguna de las precauciones antes mencionadas, tus opciones ya son mucho más limitadas. Pero puede ser que no todo esté perdido. Hay algunas cosas que puedes hacer que quizás ayuden a mitigar los daños, en particular si el ransomware en cuestión es Cryptolocker.
8. Desconéctate del Wi-Fi o quita el cable de red de inmediato
Si ejecutaste un archivo que sospechas que puede tratarse de un ransomware, pero aún no apareció la pantalla característica en tu computadora, si actúas muy rápido, quizá puedas detener la comunicación con el servidor C&C antes de que termine de cifrar tus archivos. Si te desconectaste de la red inmediatamente (¿dejé bien en claro que debe hacerse en ese preciso instante?), puedes llegar a mitigar el daño.
Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.
9. Usa Restaurar sistema para volver a un estado sin infecciones
Si la funcionalidad Restaurar sistema está habilitada en tu equipo con Windows, es posible que puedas volver a un estado sin infecciones. Pero, una vez más, debes ser más inteligente que elmalware. Las últimas versiones de Cryptolocker pueden incluir la capacidad de borrar archivos de respaldo de la restauración, es decir que ya no estarán allí cuando intentes reemplazar la versión que dañó el malware.
Cryptolocker comenzará con el proceso de borrado cada vez que se inicie un archivo ejecutable, por lo que debes ser muy rápido, ya que los ejecutables pueden iniciarse como parte de procesos automatizados. En otras palabras, pueden ejecutarse sin tu conocimiento, como parte normal del funcionamiento de tu sistema Windows.
10. Retrocede la hora en el reloj de la BIOS
Cryptolocker en general fija el límite de tiempo en 72 horas para realizar el pago, tras lo cual el precio para descifrar los archivos sube significativamente. El precio puede variar debido a que Bitcoin tiene un valor bastante volátil.
Lo que puedes hacer es retroceder la hora en el reloj de la BIOS a un punto anterior a que se cumplan las 72 horas. Soy un poco reacia a dar este consejo, ya que para lo único que sirve es para evitar que pagues el precio más alto, cuando en realidad nosotros recomendamos firmemente no pagar el rescate.
Aunque el hecho de pagarles a los criminales puede llevarte a recuperar tus datos, hubo muchos casos en los que la clave de descifrado nunca llegó o no descifró los archivos. Además, ¡fomenta la conducta criminal! Ningún tipo de secuestro es una práctica comercial legítima, por lo tanto, los creadores de malware no tienen ninguna obligación de cumplir con lo acordado; pueden llevarse el dinero sin dar nada a cambio, ya que no existe ningún control ni sanción si no lo hacen.
Más información
Si eres cliente de VITEC y te preocupa tu protección contra el ransomware o piensas que puedes ser un blanco, contáctanos al 5110820 o a nuestro número de emergencia 0997777423 . Te daremos los últimos detalles para evitar y remediar un ataque.
Por último, cabe notar que el brote reciente de ataques de tipo ransomware generó una cobertura mediática desenfrenada, principalmente porque se aparta de la tendencia anterior del malware con motivación financiera, que solía pasar desapercibido y no dañaba los archivos. El ransomware ciertamente puede ser aterrador, pero también existen muchos problemas benignos que pueden provocar el mismo nivel de destrucción.
Es por eso que la mejor práctica siempre será (y siempre fue) protegerte del ransomware y de la pérdida de datos mediante backups de rutina. De esa forma, pase lo que pase, serás capaz de reiniciar tu vida digital rápidamente. Tengo la esperanza de que, si algo bueno puede surgir de esta tendencia del ransomware, es que comprendamos la importancia de realizar copias de respaldo regulares y frecuentes para proteger nuestros datos valiosos.
—–
Referencia externa: https://www.spamstopshere.com/blog/antivirus/ransomware-increase-flood-locky-and-other-viruses
Debe estar conectado para enviar un comentario.