Ransomware: prevenir es mejor que curar

Ing. Carlos Rubén Jacobs - [email protected]


Ransomware: prevenir es mejor que curar

El ransomware es un software diseñado

con fines maliciosos

que bloquea el acceso a equipos informáticos o a los datos,

hasta que se recibe un pago que se solicita como rescate.



Hay ransomware de distintos tipos

De cifrado

De bloqueo de pantalla


Ransomware: de cifrado

Ransomware de cifrado

AIDS de 1989 - Troyano propagado mediante diskettes que se enviaban por correo postal

Gpcode de 2005 - Encripta todos los archivos de la PC y dejaba un archivo de texto indicando cómo pagar el rescate




Gpcode de 2010 - Mejoró el método de cifrado usando RSA con claves de 1024bits




Archiveus de 2006 - No cifraba. Copiaba todos los archivos a un único archivo EncryptedFiles.als y luego asociaba la extensión als a un programa de los atacantes que requería contraseña




CryZip de 2007 - comprime con una contraseña todos los archivos que tengan determinadas extensiones, generando los archivos [nombre de archivo]_CRYPT_.ZIP, para después borrar los originales que previamente habían sido sobrescritos con la cadena de texto «Erased by Zippo! GO OUT!!! », para evitar su posible recuperación.



Ransomware de cifrado: CryptoLocker de 2013 (Alta incidencia)

1. Se instala en la carpeta «Documents and Settings» usando un nombre generado aleatoriamente y se agrega a la lista de programas que se cargan automáticamente, modificando el registro de Windows.




2. Después de instalarse, genera una lista aleatoria de direcciones de servidores con los dominios .biz, .co.uk, .com, .info, .net, .org y .ru.




3. En este punto, CryptoLocker intenta establecer una conexión web con cada uno de los nombres de los servidores, uno por segundo, hasta que encuentre uno que responda.

4. Una vez encontrado un servidor que responde, el programa genera un archivo que se puede asimilar a un identificador de CryptoLocker en el ordenador afectado y posteriormente lo envía al servidor.

5. El servidor, usando el identificador que ha recibido, genera un par de claves pública-privada para después enviar únicamente la clave pública al ordenador comprometido.




6. El malware usa esta clave pública para cifrar los archivos que encuentra con un listado de extensiones predefinidas, especificadas como imágenes y documentos.




7. Muestra una ventana de pago ofreciendo un tiempo limitado, normalmente 100 horas, para recuperar la clave privada y de este modo recuperar sus datos, o el malware precederá a eliminarlos.



Ransomware de cifrado para Linux: Linux.Encoder.1

Primero para Linux Descubierto en noviembre de 2015

Ingresa por un agujero de seguridad en CMS Magento

Afectó a más de 2000 usuarios

BitDefender provee herramienta para liberarse



Ransomware de cifrado:

1. de código abierto

- https://github.com/utkusen/eda2 (abandonado hace 2 meses)

2. TOX: creación automática en pocos clicks, con modelo 70/30 de compartir ganancias

https://github.com/utkusen/eda2



Incorpórase como artículo 153 bis del Código Penal, el siguiente:

Artículo 153 bis: Será reprimido con prisión de quince (15) días a seis (6) meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido.

La pena será de un (1) mes a un (1) año de prisión cuando el acceso fuese en perjuicio de un sistema o dato informático de un organismo público estatal o de un proveedor de servicios públicos o de servicios financieros.

Ley 26.388 art. 5


Ransomware: de bloqueo de pantalla

Ransomware de bloqueo de pantalla

Bloquea el uso o acceso del ordenador, pero sin cifrar la información. Típicamente fija una vista con el mensaje y la petición de rescate, impidiendo cualquier acción para cerrarlo, además del acceso al administrador de tareas, a los navegadores web o a cualquier otra parte del sistema. Este tipo de ransomware apareció bastante más tarde que la otra categoría, detectándose las primeras muestras en el 2010.




WinLock (2010)

En sus primeras versiones afectó a más de diez mil usuarios, bloqueando el acceso de los ordenadores y solicitando el envío de SMS Premium para surescate




WinLock (2010)

1. Una vez lanzado el troyano, modifica el «autorun» del registro de Windows y configura así su inicio automático al arrancar el ordenador.

2. Deshabilita el administrador de tareas y bloquea algunas herramientas de trabajo.

3. Crea una ventana emergente sobre todo el escritorio, que bloquea cualquier tipo de actividad, estando constantemente manteniéndose como ventana superior. Versiones posteriores modificaron sus mensajes de rescate por imágenes pornográficas




WinLock (variación 2011)

En 2014, la Encuesta Global Sobre Software de BSA informó que el 69% del software instalado en la Argentina durante el año anterior no tenía licencia, en comparación con el 43% a nivel mundial.




Virus de la policía

500.000 PCs infectadas en 18 días

Geolocalizado para adecuar el mensaje al idioma y autoridad correspondiente a la región del usuario, solicita el pago de una multa por uso de software sin licencia o por visualización de contenido pornográfico ilegal, y hasta que el usuario no pague la «multa» el ordenador seguirá secuestrado.


Ransomware: métodos de infección

Ransomware: métodos de infección

- Archivos adjuntos en e-mails

- Links en e-mails

- Sitios pornográficos o de juegos

- RDP (Remote Desktop Protocol): agujeros de seguridad o ataques de fuerza bruta

- Ataques a dispositivos móviles


Ransomware: Prevención – Protegiendo tu PC

Ransomware: Prevención – Actualización de software



Ransomware: Prevención – Suite de seguridad

- Usar antivirus centralizado

- El software de antivirus debe estar actualizado

- La base de datos de definición de virus debe estar actualizada




Eficacia en detección de ransomware

ESET-NOD32: 95.8%Panda: 94.0%Kaspersky: 90.0%McAfee: 88.0 %Avast: 86.0%AVG: 86.0%Avira: 84.2%Microsoft: 82.0%Symantec: 82.0%

Fuente: incibe.es




Ante un archivo o link sospechoso

cutheatergroup.cn ejemplo de link de e-maildionneg.com



Ransomware: Prevención

- Minimizar las unidades de red mapeadas

- El usuario de uso diario no debe ser administrador

- Limitar las carpetas desde las que se puede ejecutar programas. Automatizado por CryptoScripted de RPK

http://www.thirdtier.net/ransomware-prevention-kit/



Ransomware: Prevención – CryptoPevent

Es un complemento al antivirus que previene infección de CryptoLocker y de otros ransomware

Versión gratuita en

https://www.foolishit.com/cryptoprevent-malware-prevention/

https://www.foolishit.com/cryptoprevent-malware-prevention/



Ransomware: Prevención – DNS

Los ransomware se comunica con servidores C&C. Bloqueando acceso a esos servidores

- Zonas DSN bind

http://www.malwaredomains.com/

-

208.67.222.222208.67.220.220

http://www.malwaredomains.com/



Ransomware: Prevención – RDP

- Desactivar RDP donde no haga falta

- Donde RDP es necesario, que solo se pueda conectar solamente desde VPN (Red privada virtual)



Ransomware: Prevención – Correos electrónicos


Ransomware: Prevención – Protegiendo tu Backup

Ransomware: Prevención – ¡Backups!




- Utilizar un sistema de copia de seguridad que no esté directamente conectado, como puede ser un servidor en la red local o en la nube, o un dispositivo externo que se conecte en el momento de realizar la copia

- Mantener versiones de backups- diario

- semanal- mensual

- Mantener copia remota de los backups- otro edificio en caja de seguridad- servicio de backup online




- Crear un usuario para el sistema de backup que no se puede loginear a la PC

- Eliminar todos los permisos heredados de la carpeta donde reside tu backup. Solo dar permiso a esa carpeta al usuario que usa el sistema de backup y System

- Encriptá tus backups

- No crees una unidad de red hacia el server de backup. Usa FQDN (backup.suteryh.xx)

- Cambiá los discos que uses como storage de acuerdo a su vida útil




- Definir procedimiento de backup:

- con responsables identificados (realización y control)- que incluya pruebas de restauración

- ¿Qué se debe incluir en el backup?

- Hacer inventario de activos de información- Definir impacto en el negocio de pérdida de cada activo- Definir el tiempo que se puede esperar para restaurar por cada activo- Definir tiempo de retención necesario por cada activo - En base a eso, definir:

- qué incluir en backup - con qué frecuencia- plazo de retención


Ransomware: Recuperación


- Definir procedimiento de backup:

- con responsables identificados (realización y control)- que incluya pruebas de restauración

- ¿Qué se debe incluir en el backup?

- Hacer inventario de activos de información- Definir impacto en el negocio de pérdida de cada activo- Definir el tiempo que se puede esperar para restaurar por cada activo- Definir tiempo de retención necesario por cada activo - En base a eso, definir:

- qué incluir en backup - con qué frecuencia- plazo de retención



Ransomware: En caso de infección

- No pagar el rescate- Alimentás el ciberdelito- No tenés seguridad de que te liberen

- Desconectar la PC afectadade la red

- Identificá el ransomware

- Si hay software de limpiezaUsalo

- Si no hay, restaurá backup




- Ransome Removal Kit https://bitbucket.org/jadacyrus/ransomwareremovalkit/overview

- CoinVault or Bitcryptorhttps://noransom.kaspersky.com/

- Rakhnihttp://support.kaspersky.com/viruses/disinfection/10556#block1

https://bitbucket.org/jadacyrus/ransomwareremovalkit/overview

https://bitbucket.org/jadacyrus/ransomwareremovalkit/overview

https://noransom.kaspersky.com/

http://support.kaspersky.com/viruses/disinfection/10556#block1





- Xoristhttp://support.kaspersky.com/viruses/disinfection/2911#block2

- Rectorhttp://support.kaspersky.com/viruses/disinfection/4264#block2

- Cryptodefensehttp://www.computerworld.com/article/2489311/encryption/cryptodefense-ransomware-leaves-decryption-key-accessible.html





http://www.computerworld.com/article/2489311/encryption/cryptodefense-ransomware-leaves-decryption-key-accessible.html






- Lockerhttp://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-32#entry3721545

- Instrucciones para eliminar varios ransomwarehttps://malwaretips.com/blogs/category/ransomware/

Si, no hay desencriptadores y no tenés backup

http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-32#entry3721545

http://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-32#entry3721545

https://malwaretips.com/blogs/category/ransomware/




http://www.bumeran.com.ar/

http://www.bumeran.com.ar/


Ransomware: medidas mínimas

Ransomware: Medidas mínimas

- Implementar uso de OpenDNS (prevención)

- Implementar anti-virus centralizado (prevención)

- Implementar backups (recuperación)

¿Preguntas?

Ing. Carlos Rubén Jacobs

[email protected]/in/carlosjacobs

www.grada.com.ar

mailto:[email protected]

http://www.grada.com.ar/

¡Gracias!

Ing. Carlos Rubén Jacobs

[email protected]/in/carlosjacobs

www.grada.com.ar

mailto:[email protected]

http://www.grada.com.ar/

Ransomware: prevenir es mejor que curar

Technology

Transcript of Ransomware: prevenir es mejor que curar