11 Acciones para protegerse contra el ransomware, incluyendo “Cryptolocker”

11 Acciones para protegerse contra el ransomware, incluyendo “Cryptolocker”

Recientemente uno de nuestros clientes fue víctima de este Malware, el cual es bastante molesto y nos puede generar varios dolores de cabeza, es por eso que compartimos con ustedes este articulo el cual fue tomado directamente de una de las firmas de antivirus con la que hemos venido trabajando desde hace ya mas de 10 años, (ESET NOD32), tomen sus precauciones.

 

El ransomware es un software malicioso que los criminales cibernéticos utilizan para mantener sus archivos de computadora en la misma pero codificados para solicitarle el rescate de los mismos, a travez de un pago para que vuelvan. Tristemente, ransomware se está convirtiendo en una forma cada vez más popular para los creadores de malware para extorsionar a las empresas y los consumidores por igual. Hay una variedad de ransomware que puede introducirse en la máquina de una persona, pero como siempre, esas técnicas bien se reducen a tácticas de ingeniería social o el uso de vulnerabilidades de software para instalar de forma silenciosa en la máquina de la víctima.


Malware-teclas¿Por qué es Cryptolocker tan notable?

Una de las amenazas ransomware específico que ha estado en las noticias mucho últimamente es Cryptolocker (detectado por ESET como Win32/Filecoder). Los autores de Cryptolocker han estado enviando correos electrónicos a gran número de personas, dirigidas en particular los EE.UU. y el Reino Unido. Como un notorio criminal, este malware se ha asociado con una variedad de otros actores malos – backdoors, descargadores, los spammers, ladrones de contraseñas, AD-clickers y similares. Cryptolocker puede venir por su cuenta (a menudo por correo electrónico) o por medio de una puerta trasera o de descarga, traído como un componente adicional.

Usted puede preguntarse por qué tanto alboroto sobre esta familia ransomware en particular – en esencia, es porque los autores del Cryptolocker han sido a la vez ágil y persistente. Ha habido un esfuerzo concertado para bombear nuevas variantes, mantenerse al día con los cambios en la tecnología de protección y dirigidos a diferentes grupos a través del tiempo.

 

¿Qué se puede hacer al respecto?

Por un lado, ransomware puede ser muy atemorizante – los archivos cifrados en esencia pueden considerarse dañados sin posibilidad de reparación. Pero si usted se ha preparado correctamente, no es más que una molestia. Aquí hay algunos consejos que le ayudarán a mantener ransomware apartado y que no arruinen su día:

1. Haga copias de seguridad de sus datos
La única cosa más grande que derrotará al ransomware es tener una copia de seguridad actualizada con regularidad. Si son atacados con ransomware es posible que pierda ese documento que comenzó a principios de esta mañana, pero si se puede restaurar el sistema a una instantánea anterior o limpiar el equipo y restaurar sus otros documentos perdidos de copia de seguridad, usted puede estar tranquilo. Recuerde que Cryptolocker también puede cifrar archivos en unidades asignadas. Esto incluye las unidades externas, como una unidad flash USB, así como de cualquier red o almacenes de archivos en la nube que se ha asignado una letra de unidad. Por lo tanto, lo que usted necesita es un régimen de copia de seguridad regulares, a un disco duro externo o un servicio de copia de seguridad, uno que no se le asigna una letra de unidad o se desconecta cuando no está haciendo copias de seguridad.

Los siguientes tres consejos están destinados a hacer frente a cómo se ha estado comportando Cryptolocker – esto puede no ser el caso para siempre, pero estos consejos pueden ayudar a aumentar su seguridad general en pequeñas maneras que ayudan a prevenir contra una serie de diferentes técnicas de malware más comunes.

2. Mostrar archivos ocultos-extensions
Una manera en que Cryptolocker llega con frecuencia se encuentra en un archivo que se denomina con la extensión “. PDF.EXE”, contando con el comportamiento predeterminado de la ventana de ocultar archivos conocidos-extensiones. Si vuelve a habilitar la capacidad de ver el archivo de extensión completa, puede ser más fácil de detectar archivos sospechosos.

3. Filtrar EXE en el correo electrónico
Si el escáner de correo de puerta de enlace tiene la capacidad de filtrar los archivos por extensión, es recomendable negar los archivos que vienen en los correos con “. EXE”  o negar los correos enviados con archivos que tienen dos extensiones de archivo, la última de ellas ejecutable (“*. *. EXE “, en la regla de filtro). Si legítimamente necesita intercambiar archivos ejecutables dentro de su entorno y están negando los correos electrónicos con “. Exe” los archivos, puede hacerlo con los archivos ZIP (protegido por contraseña, por supuesto) o por medio de servicios en la nube.

4. Deshabilitar archivos que se ejecutan desde las carpetas AppData / LOCALAPPDATA
Puede crear reglas dentro de Windows o con prevención de intrusiones de software, para no permitir un comportamiento particular, notable utilizado por Cryptolocker, que es correr su ejecutable a partir de los datos de la aplicación o en las carpetas de datos de la aplicación local. Si (por alguna razón) tiene software legítimo que sabe que está configurado para ejecutarse no desde el programa habitual sección Archivos, pero el área de datos de la aplicación, usted tendrá que excluir de esta regla.

5. Utilice el Kit de Prevención Cryptolocker 
La Prevención Kit Cryptolocker es una herramienta creada por Tercer Nivel que automatiza el proceso de hacer una directiva de grupo para deshabilitar los archivos que se ejecutan desde las carpetas de datos de aplicaciones y de datos local App, así como deshabilitar los archivos ejecutables se ejecuten desde el directorio Temp de varias utilidades de descomprimir . Esta herramienta se actualiza a medida que se descubren nuevas técnicas para Cryptolocker, por lo que querrá comprobar periódicamente para asegurarse de que tiene la versión más reciente.

6. Desactivar RDP
El malware Cryptolocker / Filecoder a menudo accede a los equipos de destino mediante el protocolo de escritorio remoto (RDP), una utilidad de Windows que permite que otros tengan acceso a su escritorio de forma remota. Si usted no requiere el uso de RDP, puede desactivar RDP para proteger tu equipo de Filecoder y otras amenazas. también incluye cualquier software que permite la administración remota de un equipo, es muy importante solo activar estos, cuando sea necesario.

7. Parche o Actualizar el software
Estos próximos dos consejos son relacionados con el malware más general, que se aplica por igual a Cryptolocker como a cualquier amenaza de malware. Los autores de malware se basan con frecuencia en las personas que ejecutan el software obsoleto con vulnerabilidades conocidas, que pueden explotar para conseguir silencio en su sistema. Se puede disminuir significativamente el potencial de ransomware sin dolor, si usted hace una práctica de la actualización de su software a menudo. Algunos fabricantes publican actualizaciones de seguridad de forma regular (Microsoft y Adobe utilizan el segundo martes de cada mes), pero a menudo hay actualizaciones “fuera de banda” o no programadas en caso de emergencia. Activar las actualizaciones automáticas, si se puede, o ir directamente a la página web del proveedor de software, ya que los autores de malware gusta disfrazar sus creaciones como las notificaciones de actualización de software también.

8. Utilice una suite de seguridad de buena reputación
Siempre es una buena idea tener tanto el software anti-malware y un firewall de software para ayudar a identificar las amenazas o comportamientos sospechosos. Los autores de malware con frecuencia envían nuevas variantes, para tratar de evitar la detección, por lo que es por eso que es importante contar con las dos capas de protección. Y en este punto, la mayoría del malware se basa en instrucciones remotas para llevar a cabo sus fechorías. Si usted se encuentra con una variante ransomware que es tan nuevo que se pone el software anti-malware pasado, todavía puede ser capturado por un servidor de seguridad cuando se trata de conectarse con su servidor de comando y control (C & C) para recibir instrucciones para el cifrado de sus archivos.

Si usted se encuentra en una posición en la que ya ha ejecutado un archivo ransomware sin haber realizado ninguna de las precauciones anteriores, sus opciones son bastante más limitadas. Pero todo no se puede perder. Hay algunas cosas que usted puede hacer y que podría ayudar a mitigar los daños, sobre todo si el ransomware en cuestión es Cryptolocker:

9. Desconectar de WiFi o desconecte de la red inmediatamente
Si ejecuta un archivo que sospecha que puede ser ransomware, pero que todavía no ha visto la pantalla ransomware característica, si se actúa muy rápidamente usted podría ser capaz de detener la comunicación con el servidor C & C antes de que termine el cifrado de sus archivos. Si desconectarse de la red inmediatamente (he enfatizado lo suficiente que esto se debe hacer de inmediato?), Es posible mitigar el daño. Se necesita algún tiempo para cifrar todos los archivos, por lo que puede ser capaz de detenerlo antes de que logre mutilar a todos. Esta técnica no es, sin duda a toda prueba, y puede que no sea lo suficientemente afortunado o ser capaz de moverse más rápidamente que el malware, pero de desconectarse de la red puede ser mejor que no hacer nada.

10. Utilice Restaurar sistema para volver a un estado conocido limpio
Si tiene habilitado Restaurar sistema en su máquina Windows, es posible que pueda tener el sistema a un estado conocido limpio. Pero, de nuevo, tiene que ser mas inteligente que el malware. Las nuevas versiones de Cryptolocker pueden tener la capacidad de eliminar los archivos “sombra” de Restaurar sistema, lo que significa que esos archivos no estarán ahí cuando intenta reemplazar sus versiones de malware dañada. Cryptolocker iniciará el proceso de eliminación siempre que se ejecute un archivo ejecutable, por lo que tendrá que moverse muy rápidamente, como ejecutables pueden iniciar como parte de un proceso automatizado. Es decir, los archivos ejecutables se pueden ejecutar sin que usted lo sepa, como una parte normal de la operación de su sistema de Windows.

11. Ajuste el reloj de la BIOS de nuevo
Cryptolocker tiene un temporizador de pago que generalmente se establece en 72 horas, después de lo cual el precio de su clave de descifrado sube significativamente. Usted puede “ganarle al reloj” algo, ajustando el reloj del BIOS de nuevo a una época anterior a la ventana de 72 horas está arriba. Le doy este consejo a regañadientes, como todo lo que puede hacer es evitar que tenga que pagar el precio más alto, y le recomendamos que usted no paga el rescate. Pagar a los criminales puede recuperar los datos, pero ha habido un montón de casos en que la clave de descifrado nunca llegaron o donde no logró descifrar correctamente los archivos. Además, fomenta un comportamiento criminal! recuerden que esto no lo debemos permitir, así que es mejor prevenir que intentar pagar a los criminales, en caso de que este ya les haya tocado.

 

Aquí les dejo el articulo en ingles, de donde se tomo parte de este contenido para compartirlo con ustedes.

http://www.welivesecurity.com/2013/12/12/11-things-you-can-do-to-protect-against-ransomware-including-cryptolocker/