Ransomware: prevenir es mejor que curar
-
Upload
carlos-ruben-jacobs -
Category
Technology
-
view
265 -
download
0
Transcript of Ransomware: prevenir es mejor que curar
Ing. Carlos Rubén Jacobs - [email protected]
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: prevenir es mejor que curar
El ransomware es un software diseñado
con fines maliciosos
que bloquea el acceso a equipos informáticos o a los datos,
hasta que se recibe un pago que se solicita como rescate.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: prevenir es mejor que curar
Hay ransomware de distintos tipos
De cifrado
De bloqueo de pantalla
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado
AIDS de 1989 - Troyano propagado mediante diskettes que se enviaban por correo postal
Gpcode de 2005 - Encripta todos los archivos de la PC y dejaba un archivo de texto indicando cómo pagar el rescate
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado
Gpcode de 2010 - Mejoró el método de cifrado usando RSA con claves de 1024bits
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado
Archiveus de 2006 - No cifraba. Copiaba todos los archivos a un único archivo EncryptedFiles.als y luego asociaba la extensión als a un programa de los atacantes que requería contraseña
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado
CryZip de 2007 - comprime con una contraseña todos los archivos que tengan determinadas extensiones, generando los archivos [nombre de archivo]_CRYPT_.ZIP, para después borrar los originales que previamente habían sido sobrescritos con la cadena de texto «Erased by Zippo! GO OUT!!! », para evitar su posible recuperación.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta incidencia)
1. Se instala en la carpeta «Documents and Settings» usando un nombre generado aleatoriamente y se agrega a la lista de programas que se cargan automáticamente, modificando el registro de Windows.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta incidencia)
2. Después de instalarse, genera una lista aleatoria de direcciones de servidores con los dominios .biz, .co.uk, .com, .info, .net, .org y .ru.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta incidencia)
3. En este punto, CryptoLocker intenta establecer una conexión web con cada uno de los nombres de los servidores, uno por segundo, hasta que encuentre uno que responda.
4. Una vez encontrado un servidor que responde, el programa genera un archivo que se puede asimilar a un identificador de CryptoLocker en el ordenador afectado y posteriormente lo envía al servidor.
5. El servidor, usando el identificador que ha recibido, genera un par de claves pública-privada para después enviar únicamente la clave pública al ordenador comprometido.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta incidencia)
6. El malware usa esta clave pública para cifrar los archivos que encuentra con un listado de extensiones predefinidas, especificadas como imágenes y documentos.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta incidencia)
7. Muestra una ventana de pago ofreciendo un tiempo limitado, normalmente 100 horas, para recuperar la clave privada y de este modo recuperar sus datos, o el malware precederá a eliminarlos.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado para Linux: Linux.Encoder.1
Primero para Linux Descubierto en noviembre de 2015
Ingresa por un agujero de seguridad en CMS Magento
Afectó a más de 2000 usuarios
BitDefender provee herramienta para liberarse
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Ransomware de cifrado:
1. de código abierto
- https://github.com/utkusen/eda2 (abandonado hace 2 meses)
2. TOX: creación automática en pocos clicks, con modelo 70/30 de compartir ganancias
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de cifrado
Incorpórase como artículo 153 bis del Código Penal, el siguiente:
Artículo 153 bis: Será reprimido con prisión de quince (15) días a seis (6) meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido.
La pena será de un (1) mes a un (1) año de prisión cuando el acceso fuese en perjuicio de un sistema o dato informático de un organismo público estatal o de un proveedor de servicios públicos o de servicios financieros.
Ley 26.388 art. 5
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo de pantalla
Bloquea el uso o acceso del ordenador, pero sin cifrar la información. Típicamente fija una vista con el mensaje y la petición de rescate, impidiendo cualquier acción para cerrarlo, además del acceso al administrador de tareas, a los navegadores web o a cualquier otra parte del sistema. Este tipo de ransomware apareció bastante más tarde que la otra categoría, detectándose las primeras muestras en el 2010.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo de pantalla
WinLock (2010)
En sus primeras versiones afectó a más de diez mil usuarios, bloqueando el acceso de los ordenadores y solicitando el envío de SMS Premium para surescate
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo de pantalla
WinLock (2010)
1. Una vez lanzado el troyano, modifica el «autorun» del registro de Windows y configura así su inicio automático al arrancar el ordenador.
2. Deshabilita el administrador de tareas y bloquea algunas herramientas de trabajo.
3. Crea una ventana emergente sobre todo el escritorio, que bloquea cualquier tipo de actividad, estando constantemente manteniéndose como ventana superior. Versiones posteriores modificaron sus mensajes de rescate por imágenes pornográficas
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo de pantalla
WinLock (variación 2011)
En 2014, la Encuesta Global Sobre Software de BSA informó que el 69% del software instalado en la Argentina durante el año anterior no tenía licencia, en comparación con el 43% a nivel mundial.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo de pantalla
Virus de la policía
500.000 PCs infectadas en 18 días
Geolocalizado para adecuar el mensaje al idioma y autoridad correspondiente a la región del usuario, solicita el pago de una multa por uso de software sin licencia o por visualización de contenido pornográfico ilegal, y hasta que el usuario no pague la «multa» el ordenador seguirá secuestrado.
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: métodos de infección
Ransomware: métodos de infección
- Archivos adjuntos en e-mails
- Links en e-mails
- Sitios pornográficos o de juegos
- RDP (Remote Desktop Protocol): agujeros de seguridad o ataques de fuerza bruta
- Ataques a dispositivos móviles
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Actualización de software
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Suite de seguridad
- Usar antivirus centralizado
- El software de antivirus debe estar actualizado
- La base de datos de definición de virus debe estar actualizada
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Suite de seguridad
Eficacia en detección de ransomware
ESET-NOD32: 95.8%Panda: 94.0%Kaspersky: 90.0%McAfee: 88.0 %Avast: 86.0%AVG: 86.0%Avira: 84.2%Microsoft: 82.0%Symantec: 82.0%
Fuente: incibe.es
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Suite de seguridad
Ante un archivo o link sospechoso
cutheatergroup.cn ejemplo de link de e-maildionneg.com
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención
- Minimizar las unidades de red mapeadas
- El usuario de uso diario no debe ser administrador
- Limitar las carpetas desde las que se puede ejecutar programas. Automatizado por CryptoScripted de RPK
http://www.thirdtier.net/ransomware-prevention-kit/
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – CryptoPevent
Es un complemento al antivirus que previene infección de CryptoLocker y de otros ransomware
Versión gratuita en
https://www.foolishit.com/cryptoprevent-malware-prevention/
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – DNS
Los ransomware se comunica con servidores C&C. Bloqueando acceso a esos servidores
- Zonas DSN bind
http://www.malwaredomains.com/
-
208.67.222.222208.67.220.220
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – RDP
- Desactivar RDP donde no haga falta
- Donde RDP es necesario, que solo se pueda conectar solamente desde VPN (Red privada virtual)
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu Backup
Ransomware: Prevención – ¡Backups!
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu Backup
Ransomware: Prevención – ¡Backups!
- Utilizar un sistema de copia de seguridad que no esté directamente conectado, como puede ser un servidor en la red local o en la nube, o un dispositivo externo que se conecte en el momento de realizar la copia
- Mantener versiones de backups- diario
- semanal- mensual
- Mantener copia remota de los backups- otro edificio en caja de seguridad- servicio de backup online
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu Backup
Ransomware: Prevención – ¡Backups!
- Crear un usuario para el sistema de backup que no se puede loginear a la PC
- Eliminar todos los permisos heredados de la carpeta donde reside tu backup. Solo dar permiso a esa carpeta al usuario que usa el sistema de backup y System
- Encriptá tus backups
- No crees una unidad de red hacia el server de backup. Usa FQDN (backup.suteryh.xx)
- Cambiá los discos que uses como storage de acuerdo a su vida útil
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Prevención – Protegiendo tu Backup
Ransomware: Prevención – ¡Backups!
- Definir procedimiento de backup:
- con responsables identificados (realización y control)- que incluya pruebas de restauración
- ¿Qué se debe incluir en el backup?
- Hacer inventario de activos de información- Definir impacto en el negocio de pérdida de cada activo- Definir el tiempo que se puede esperar para restaurar por cada activo- Definir tiempo de retención necesario por cada activo - En base a eso, definir:
- qué incluir en backup - con qué frecuencia- plazo de retención
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Recuperación
Ransomware: Recuperación
- Definir procedimiento de backup:
- con responsables identificados (realización y control)- que incluya pruebas de restauración
- ¿Qué se debe incluir en el backup?
- Hacer inventario de activos de información- Definir impacto en el negocio de pérdida de cada activo- Definir el tiempo que se puede esperar para restaurar por cada activo- Definir tiempo de retención necesario por cada activo - En base a eso, definir:
- qué incluir en backup - con qué frecuencia- plazo de retención
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Recuperación
Ransomware: En caso de infección
- No pagar el rescate- Alimentás el ciberdelito- No tenés seguridad de que te liberen
- Desconectar la PC afectadade la red
- Identificá el ransomware
- Si hay software de limpiezaUsalo
- Si no hay, restaurá backup
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Recuperación
Ransomware: En caso de infección
- Ransome Removal Kit https://bitbucket.org/jadacyrus/ransomwareremovalkit/overview
- CoinVault or Bitcryptorhttps://noransom.kaspersky.com/
- Rakhnihttp://support.kaspersky.com/viruses/disinfection/10556#block1
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Recuperación
Ransomware: En caso de infección
- Xoristhttp://support.kaspersky.com/viruses/disinfection/2911#block2
- Rectorhttp://support.kaspersky.com/viruses/disinfection/4264#block2
- Cryptodefensehttp://www.computerworld.com/article/2489311/encryption/cryptodefense-ransomware-leaves-decryption-key-accessible.html
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Recuperación
Ransomware: En caso de infección
- Lockerhttp://www.bleepingcomputer.com/forums/t/577246/locker-ransomware-support-topic/page-32#entry3721545
- Instrucciones para eliminar varios ransomwarehttps://malwaretips.com/blogs/category/ransomware/
Si, no hay desencriptadores y no tenés backup
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: Recuperación
Ransomware: En caso de infección
http://www.bumeran.com.ar/
Ing. Carlos Rubén Jacobs - [email protected]
Ransomware: medidas mínimas
Ransomware: Medidas mínimas
- Implementar uso de OpenDNS (prevención)
- Implementar anti-virus centralizado (prevención)
- Implementar backups (recuperación)