RANSOMWARE

Que son y como evitarlos…

¿QUÉ ES RANSOMWARE?

Corresponde a una categoría de MALWARE que tiene la capacidad de tomarcontrol de nuestro equipo y robar o encriptar nuestra información, generalmentepidiendo un pago a cambio de ello.

Esta modalidad de virus se ha masificado este último tiempo ya que la finalidadactual de los hackers no solo es quitar y robar nuestra información, de hecho, enmuchos casos no es lo más importante, sino por el contrario, pedir recompensasmonetarias no menores y poder estafar a empresas y particulares en su ejecución.

…Y EN PALABRAS TÉCNICAS, ¿DE QUÉ ESTAMOS HABLANDO?

Se trata de troyanos de la familia Ransomware, que como hemos mencionadoanteriormente, toma dominio de nuestro equipo y encripta e infecta gran parte denuestra información en el caso de los FILECODER, quienes además piden un pago.

Aunque los documentos oficiales del virus nos hablan de un cifrado RSA2048 yAES256, sabemos que la cursividad de los archivos es otra, haciendo casi imposiblesu recuperación si no es por el medio que estos mismos hackers nos ofrecen.

.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic,.bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg,. hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf,.ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .VTF, .dazip, .fpk, .mlx, .kf, .iwd, .VPK, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00,.lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba,. rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx,.bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, cartera, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt,.p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf , .orf, .NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2,.crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe,. jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb,.mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm , .odp, .ods, .odt .

EJEMPLOS DE RANSOMWARE

EJEMPLOS DE RANSOMWARE

Modalidades lockscreen

REALIDAD LATINOAMERICANA

NUEVAS VERSIONES MAS PELIGROSAS

arranque maestro (MBR)

NUEVA AMENAZA DETECTADA POR GDATA

Los expertos de G DATA SecurityLabs handetectado un nuevo ransomware llamadoManamecrypt o CryptoHost. Este nuevomalware no solo cifra los archivos afectados(en un archivo comprimido protegido concontraseña) y borra los originales sino quetambién impide la ejecución de ciertosprogramas instalados en las máquinasatacadas. Uno de los hechos más relevantesde este nuevo malware es la forma depropagarse, camuflado junto a algunasversiones de programas de descarga detorrents, algo inusual cuando hablamos detroyanos de tipo ransomware.

CUANTO HEMOS APRENDIDO

PREGUNTA 1

RESPUESTA 1

PREGUNTA 2

RESPUESTA 2

PREGUNTA 3

RESPUESTA 3

PREGUNTA 4

RESPUESTA 4

PREGUNTA 5

RESPUESTA 5

PREGUNTA 6

RESPUESTA 6

PREGUNTA 7

RESPUESTA 7

COMO PROTEGERSE DE ESTAS INFECCIONES

• Realizar backup constantes de la información más importante de la empresa tanto en servidores como estaciones de trabajo.

• Educar y realizar charlas sobre seguridad informática a nivel usuario.

• Evitar abrir correos con información no relevante o no perteneciente a la empresa.

• Prohibir la utilización de programas utorrent y cualquiera de transferencia de archivos.

• No ingresar a enlaces o URL que nos parezcan sospechosas o desconocidas.

EVITA EL 90% DE LOS RANSOMWARE

Para bloquear el acceso a estosdirectorios vamos a aprovechar lasdirectivas de seguridad de Windows.Para ello, abrimos el Panel deControl y en el apartado de Sistema ySeguridad > Herramientasadministrativas buscaremosla Directiva de Seguridad Local.

EVITA EL 90% DE LOS RANSOMWARE

En esta ventana seleccionamos la ruta“Reglas adicionales” y, en el apartadocentral, pulsamos con el botónderecho debajo de las dos reglasexistentes por defecto y elegimos“Regla de nueva ruta de acceso” paracrear, una a una, las siguientesentradas:

- %AppData%\*.exe – “No permitido”

- %AppData%\*\*.exe – “No permitido”

- %LocalAppData%\*.exe – “No permitido”

- %LocalAppData%\*\*.exe – “No permitido”

- %ProgramData%\*. exe – “No permitido”

- %Temp%\*.exe – “No permitido”

- %Temp%\*\*.exe – “No permitido”

- %LocalAppData%\Temp\*.zip\*.exe – “No permitido”

- %LocalAppData%\Temp\7z*\*.exe – “No permitido”

- %LocalAppData%\Temp\Rar*\*.exe – “No permitido”

- %LocalAppData%\Temp\wz*\*.exe – “No permitido”

- %ProgramData%\*. exe – “No permitido”

Una vez creadas todas las reglasreiniciamos el ordenador para que seapliquen correctamente y listo. En casode ser víctima de una amenaza cuyobinario se ejecute desde alguna de lasrutas anteriores, esta quedaráautomáticamente bloqueada,asegurando nuestros datos y evitandoun mal mayor.

Esta medida de seguridad no soloafecta al ransomware, sino que tambiénserá eficaz con todo el malware (virus,troyanos, etc) que se intente ejecutardesde cualquiera de las rutasanteriores.

MUCHAS GRACIAS