ransomware-discoveries

En los ultimos tiempos existe un tipo de malware que esta causando graves problemas en las computadoras, es el Ransomware que tiene la capacidad de bloquear el equipo cifrando los archivos del mismo para luego pedir un rescate por ellos.

Es muy peligroso para cualquier usuario pues una infección de este tipo puede generar la pérdida de información importante como documentos, videos, fotos, etc, pero en entornos corporativos o de oficinas lo es mucho mas, porque algunas variantes de Ransomware pueden incluso propagarse por la red local y también afectar a otros equipos.

El ransomware es un tipo de malware que emplea cifrado asimétrico para secuestrar la información de la víctima y solicitar un rescate. El cifrado asimétrico (clave pública) es una técnica criptográfica en la que se utilizan un par de claves para cifrar y descifrar un archivo. El delincuente genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave privada para descifrar los archivos en su servidor. La víctima solamente podrá acceder a la clave privada tras el pago de un rescate al agresor, aunque tal y como se ha podido comprobar en campañas recientes de ransomware, esto no siempre sucede así. Sin acceso a la clave privada, resulta prácticamente imposible descifrar los archivos por los que se exige un rescate.

En las campañas de ransomware, la mayoría empiezan con un mensaje de correo electrónico de phishing (suplantación de identidad). Con el paso del tiempo, han ganado en sofisticación, y ahora muchas están específicamente y meticulosamente diseñadas en el idioma local de las víctimas a las que van dirigidas.

Ejemplos de campañas de Ransomware:

Correos (España)
SDA (Italia)
Royal Mail (Inglaterra)
DHL (Austria y Alemania)
Česká pošta (República Checa)
TTTNet ( Turquía)
AusPost y Office of State Revenue (Australia)

Los nombres de los ransomwares mas recientes son: CryptoLocker, TorrentLocker, CryptoWall, CTB-Locker, ZeroLocker, TeslaCrypt, Crysis, Jigsaw y CryptXXX. En Google Drive hay disponible un listado completo con la recopilación de los principales ransomwares que existen en la actualidad. En ese documento se puede ver el nombre del ransomware, la extensión que utiliza cuando cifra los archivos del usuario, el patrón de la extensión que genera en los archivos, el tipo de algoritmo de cifrado, y algunos comentarios sobre el ransomware.

El sentido común es el mejor amigo de los usuarios de Windows. La oficina de Correos no suele enviar emails para avisar de la llegada de una carta certificada, es el cartero quien deja un aviso en el buzón de su casa. Otro detalle es si Usted encuentra más de dos faltas gramaticales claras debería empezar a sospechar.

Pero además en el caso de España al entrar a la supuesta página de correos.es observara que aunque en el e-mail y la página web aparezcan los logos de correos y tambien en la barra de direcciones del navegador como el dominio no tiene nada que ver con www.correos.es. Es un claro ejemplo de phishing. Ya está bueno de tomar el pelo a personas con menos conocimientos informáticos que no saben diferenciar entre una página real y una falsa.

En los Estados Unidos de Norteamerica el servicio de correos (United States Postal Service), tampoco le enviara un correo electronico, para avisarle de que tiene un paquete o una carta certificada, lo que hara el cartero de su zona si no lo encuentra en su casa es dejarle una tarjeta de notificación, para que pase por la oficina de correos a recoger el envio.

¿Esta Usted seguro del nombre de dominio? El usuario debe estar seguro de que entra en el dominio correcto verificando el nombre del dominio. Los atacantes muchas veces utilizan nombres similares, los cuales difieren en una letra y lo hacen esperando un error de escritura del usuario, como por ejemplo escribir Facebok en lugar de Facebook o bien utilizan subdominios muy largos.

Consejo básico de seguridad en Windows: mostrar la extensión real de un archivo
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

Para habilitarlo tiene que abrir las Opciones de carpeta, haga clic en el botón Inicio, en “Panel de control” (Control Panel), en “Apariencia y personalización” (Appearance and Personalization), y, por último, en “Opciones de carpeta” (File Explorer Options). En la ventana que se abre, haga clic en la ficha “Ver” (View) y a continuación, en “Configuración avanzada” (Advanced settings), desactive la casilla “Ocultar extensiones de tipos de archivos conocidos” (Hide extensions for known files types), a continuación, haga clic en “Aceptar” (Apply).

Antes le mostraba: documento, documento2
Ahora le mostrará: documento.pdf, documento2.docx

El objetivo de los ransomware es cifrar los archivos para que no se puedan recuperar,por lo tanto las copias de seguridad (Backups) son muy importantes. Cuando el usuario tiene un respaldo de toda la información de su computadora, es una garantía de que no va a perder ninguna informacion, hay que aclarar que es necesario que estos Backups se realicen de forma periódica y almacenarlos de forma segura para que no se vean afectados en casos de ataque en un disco duro externo o una memoria flash, para evitar la infeccion de las copias de seguridad se recomienda que estos dispositivos se encuentren desconectados de los equipos, ademas de hacer las copias de seguridad como minimo una vez a la semana, también periodicamente es recomendable verificar que las copias de seguridad se estén realizando de forma correcta y las mismas funcionen, o sea que no estén corruptas y luego estas no se puedan abrir.

Se recomienda a los usuarios de PCs, que ademas de tener instalados en su computadora un antivirus y firewall, es conveniente reforzar la proteccion de los equipos con herramientas especificas que sirvan para detectar los ransomwares. Estas herramientas especificas no generan conflictos con los antivirus, pues hasta la actualidad los mismos no son capaces de detectar los ransomwares.

Herramientas específicas de protección (Anti-Ransomwares)

Anti-Ransomware de Malwarebytes (Basado en CryptoMonitor)
CryptoPrevent (Básicamente aplica políticas de seguridad con GPO)
Cryptostalker
AntiRansom de SecurityByDefault.com
BDAntiRansomware de BitDefender
PROTEIN – PROTEct your INformation (Powershell Anti-Ransomware)

Otra recomendacion que va ayudar a los usuarios a protegerse del malware en general es que mantengan actualizado su sistema operativo Windows, pues las actualizaciones solucionan problemas y vulnerabilidades que pueden ser aprovechadas por los atacantes para infectar su computadora.

Ademas los usuarios deben estar conscientes de también es necesario mantener actualizados todos los programas instalados en sus equipos, tales como los lectores de PDF (Adobe Reader, Foxit Reader), ofimática (Word, Excel, LibreOffice, etc), navegadores web (Internet Expolrer, Edge, Firefox, Google Chrome, Palemoon, etc), clientes de correos, Flash, Java y otros programas pues las ultimas versiones solucionan vulnerabilidades y problemas (bugs) que pueden tambien ser aprovechadas por los atacates para infectar su computadora. En caso de utilizar en los navegadores complementos como Flash y Java también es necesario actualizarlos pues en los ultimos tiempos son vectores de ataques debido a las muchas vulnerabilidades que presentan.

Es recomendable para los sistemas operativos Windows de no utlizar cuentas con derechos de Administración pues de esta forma los malwares como el ransomware y otros se ven limitados a la hora de actuar.

Si utiliza el navegador web Firefox es recomendable que instale la extension de NoScript, un complemento que por defecto bloqueara todos los scripts en los sitios web que visita. Este complemento es facilmente configurable, para gestionar la ejecucion o no de todos los scripts de los sitios web que el usuario visita.

El navegador web Google Crome de forma nativa el usuario puede configurarlo para bloquear todos los scrpts en las paginas web, para esto solo tiene que entrar en Ajustes (Settings) y hacer los ajustes necesarios. En caso de que quiera tener mas opciones puede utilizar la extension de ScriptSafe, la cual le permitira gestionar de mejor forma los scripts de los sitios web que visita.

Ademas para incrementar las medidas de seguridad en los sistemas operativos Windows puede usar el Editor de directivas locales y de grupo (Group Policy Object, GPO), para mas informacion sobre este aspecto puede leerlo en el enlace de la fuente original de este articulo.

Fuente:Segu-Info