Category

Amenazas

Cómo descifrar el ransomware CryptXXX: Kaspersky Lab lanza una nueva herramienta para liberar archivos afectados

By | Amenazas, Criptovirus, Ransomware | No Comments

Este ransomware, dirigido a dispositivos Windows, bloquea archivos, copia datos y roba Bitcoins.

El ransomware CryptXXX se distribuye entre los internautas a través de correos spam que contienen archivos adjuntos infectados o links a páginas web maliciosas. Las webs que alojan el kit de exploit de Angler distribuyen el malware CryptXX.

Cuando se ejecuta, el ransomware cifra los archivos del sistema infectado y añade la extensión .crypt al nombre de cada archivo.

Tras esto, se informa a las víctimas de que sus archivos han sido cifrados a través de RSA-4096, un algoritmo de encriptación más fuerte, además de exigir el pago de un rescate en Bitcoins para liberar los datos.

Con más de 50 familias de ransomware existentes, no existe un algoritmo universal para contrarrestar la amenaza o el impacto de estos ataques. Sin embargo, en el caso de CryptXXX, el rescate de los ciberdelincuentes a través de RSA-4096 resultó ser falso y Kaspersky Lab ha desarrollado una herramienta de descifrado que ahora está disponible en la web de soporte de la compañía.

Gracias al trabajo de los expertos de Kaspersky Lab, ahora los internautas pueden tener la seguridad de que si CryptXXX se encuentra en sus sistemas, es posible recuperar los archivos sin pagar el rescate. Con el fin de descifrar los archivos afectados, esta herramienta de Kaspersky Lab necesitará la versión original (no encriptada) de al menos un archivo que haya sido afectado por este ransomware.

Los usuarios de las soluciones de Kaspersky Lab están ahora más protegidos porque el kit de exploit de Angler usado por el ransomware CryptXXX se detecta en etapas tempranas de infección, gracias a la tecnología de prevención y bloqueo de las acciones de exploit de las soluciones de Kaspersky Lab.

Los productos de Kaspersky Lab detectan este kit de exploit bajo los siguientes parámetros:

HEUR:Exploit.SWF.Agent.gen, PDM:Exploit.Win32.Generic, HEUR:Exploit.Script.Generic.

Puede consultar más información a través del siguiente enlace:
http://support.kaspersky.com/sp/viruses/disinfection/8547

Otras utilidades de desinfección:
http://support.kaspersky.com/sp/viruses/disinfection

Videos prácticos para hacer frente a amenazas a Cryptovirus (en inglés):

Default Deny

¿Qué es un Cryptovirus?, ¿puede poner en riesgo su negocio?

¿Cómo proteger los recursos de red frente a un Ransomware?

¿Cómo proteger los datos clave de la empresa?

Desde Kaspersky seguimos recomendando tener en cuenta las siguientes pautas de seguridad para reducir el riesgo de infección por malware del tipo Ransomware o Cryptoware “file encryptors”:

Mensajes de correo: es la principal vía de infección hasta el momento. Lo más eficaz es activar soluciones perimetrales en los sistemas de correo que puedan filtrar tanto Spam como archivos adjuntos que puedan contener código ejecutable en los mismos. Si no se dispone de soluciones perimetrales, activar el módulo de Antivirus de Correo de Kaspersky Lab para filtrar los siguientes tipos de archivos adjuntos:

archivos zip, pdf, doc(x), xls(x), exe, bat, o cualquier otro que pueda contener macros.

  • Dos ejemplos de los métodos más utilizados para la propagación son:
    • Correo procedente, aparentemente, de Correos adjuntando un archivo zip del tipo:

Carta_certificada_<numero_aleatorio>.zip\Carta certificada_<numero_aleatorio>.exe

    • Correo cuyo asunto es: My photo

Contenido: My new photo , send u photo 😉

Incluye un adjunto “my_new_photo” seguido de un número aleatorio y extensión .zip.

Si alguien de la organización recibe algo parecido, ¡borradlo inmediatamente! Que nadie abra el adjunto bajo ninguna circunstancia.

  • Evitar descargar archivos cuyos enlaces estén indicados en el cuerpo de un correo y que no vengan de personas de confianza. Si existen dudas, revisar si en el correo existen caracteres extraños en vez de tildes o errores ortográficos como que las “ñ” vengan como “n”. Si es así, no abrir los posibles adjuntos ni pulsar en los enlaces.
    • Siempre que sea posible, actualizar a la última versión de Kaspersky Endpoint Security 10 y configurarlo siguiendo el artículo técnico:

http://support.kaspersky.com/10905

  • Asegurarse de que las bases de firmas de la solución de seguridad son siempre las últimas disponibles.
  • Asegurarse que el componente System Watcher esté activado.
  • Asegurarse que el componente Kaspersky Security Network (KSN) esté activado
  • Activar y configurar el módulo de control de actividad de aplicaciones para evitar la ejecución de aplicaciones que no sean de confianza.
  • Los ficheros maliciosos ocultan el tipo de archivo que son, usando diversas técnicas, para tener visibilidad en todo momento del tipo de extensión real del fichero, se recomienda deshabilitar la opción de ‘Ocultar las extensiones de archivo para tipos de archivo conocidos’, en las ‘Opciones de Carpeta’ del Explorador de archivos de Windows.
  • Tener siempre copias de seguridad actualizadas de los datos, tanto de equipos de trabajo como de unidades de almacenamiento en dispositivos externos.
  • Mantener todo el software actualizado para protegerse de infecciones desde páginas que utilizan Web Exploit Kits que se aprovechan de vulnerabilidades del navegador, Java, Flash o Adobe Acrobat.

UNA VEZ QUE LA INFECCIÓN SE HA PRODUCIDO, las vías para intentar recuperar los archivos
son:

  • Apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red.
  • Entrar en modo seguro del sistema y proceder a recuperar las Volume Shadow Copies.
  • Proceder a la restauración de las copias de seguridad.
  • Intentar recuperar los archivos con herramientas forenses.
  • Herramientas de Kaspersky: http://support.kaspersky.com/viruses/utility.
  • Herramientas de terceros: https://www.decryptcryptolocker.com.
  • Abrir una incidencia al departamento de Soporte Técnico de Kaspersky Lab a través del portal de gestión de incidencias:
http://companyaccount.kaspersky.com

COINVAULT RANSOMWARE DECRYPTOR:

Kaspersky Lab ha lanzado un sitio web https://noransom.kaspersky.com/ para ayudar a las víctimas de CoinVault ransomware y así tiene la oportunidad de recuperar sus datos sin tener que pagar a los criminales.

Las instrucciones están disponibles en inglés a través de este enlace: https://noransom.kaspersky.com/static/convault-decrypt-manual.pdf

Localizar malware en nuestro sitio web corporativo.

By | Kaspersky EndPoint 10 para Windows, phishing, sql injection | No Comments

Kaspersky Endpoint 10 no solamente detecta malware de escritorio sino también puede detectar código malicioso escrito en PHP o Javascript de nuestro sitio web corporativo (WordPress, Drupal, joomla, CMS desarrollados a medida, etc…). ¿Pero como efectuar un análisis de nuestro sitio web? ¿Cómo podemos saber que nuestro sitio web no está distribuyendo virus o se ha insertado alguna página de Phishing que intenta recabar datos de nuestros usuarios web?. Desde cint consulting os proponemos un par de métodos.

El primero seria instalar el antivirus directamente en nuestro servidor web, concretamente, para un servidor Windows recomendaríamos la versión específica para servidores Windows: Kaspersky Security for Windows Server o bien la versión Kaspersky for Linux File Servers para servidores web linux.

El problema de esta solución es que muchas empresas hospedan sus páginas web en hostings compartidos, como pueden ser Arsys, Acens, One & One, CDmon, etc… y por la naturaleza del producto «hosting compatido» jamás tendremos la posibilidad de instalar software en dichos servidores ni de verificar la seguridad de los mismos. La solución que proponemos es analizar con Kaspersky EndPoint 10 directamente los ficheros de copias de seguridad de nuestra web.

Ejemplo práctico: Un wordpress hospedado en un servidor Linux compartido.

  1. Instalamos un plugin de copias de seguridad con destino a FTP en nuestro wordpress. (Nosotros proponemos: BackWPub)
  2. Configuramos en nuestra oficina el servidor FTP en el que alojaremos los Backups de nuestra web (por ejemplo con Filezilla Server + DynDNS para aquellas empresas que no dispongan de IP fija)
  3. Configuramos el plugin de copias para que cada noche se realice una copia de seguridad de nuestra web en el FTP. Es importante incluir en la copia tanto el fichero el dump de la base de datos. (Donde kaspersky localizará código malicioso inyectado) y los ficheros de la cuenta FTP (los .htm, .php, .asp, etc…).
    Si el sitio web es pequeño, del orden de megas, o no tenemos problemas de espacio en nuestro servidor de copias, recomendamos mantener un gran histórico de copias, de 1 año por ejemplo.
  4. Instalamos Kaspersky Endpoint 10 en el servidor de copias y programamos análisis completos, periódicos y que por supuesto incluyan ficheros comprimidos. (rar, zip, etc).

 

ejemplo-de-detecciones-en-servidores-web

 

 

Ransomware…  que són y cómo protegerse

By | Amenazas, Criptovirus, Ransomware | No Comments

A dia de hoy los virus encriptadores de ficheros o Ransomware  son el principal dolor de cabeza de los administradores de sistemas corporativos. El motivo es simple,  estos códigos maliciosos pueden encriptar todos los documentos ofimáticos (word, excel…), imágenes, pdfs, etc, no solamente del equipo infectado sino también todos los ficheros de la red a los que este equipo tenga acceso de lectura y borrado, es decir los ficheros alojados en el servidor de ficheros.

¿Se da cuenta el usuario de que se están encriptando los ficheros?

Pues normalmente no hasta que ya es demasiado tarde. Los ransomware no tienen ningún tipo de síntoma o interfície visual mientras están encriptando, sólo son perceptibles porque el equipo va un poco mas lento de lo normal y el led del disco duro se queda prácticamente encendido.

¿Cómo llegan los cryptovirus a infectar un equipo?

El método mas común suele ser un falso email procedente  de alguna empresa conocida o incluso con la que el usuario trabaja habitualmente. Las más habituales son compañías de paqueteria como UPS o Correos, y compañías de energía como Endesa.  Aunque también existe la posibilidad de ser infectado a través de un pendrive o alguna descarga fraudulenta a partir de un enlace en alguna página web o red social.

¿Cómo podemos protegernos?

La primera recomendación es tener un buen sistema de copias de seguridad, copias externas fuera del alcance del encriptador y que nos permita disponer de varios días de histórico de ficheros, (ya que podemos no darnos cuenta del encriptado hasta varios días mas tarde). Desde Cint Consulting os recomendamos nuestro servicio de Backup Online. También recomendamos activar las instantáneas de volumen para disponer de las versiones anteriores de los ficheros, aunque las últimas versiones de cryptovirus las inactivan y las inutilizan completamente.

Nuestra siguiente recomendación es instalar Kaspersky endpoint 10 en todas las estaciones de trabajo y Kaspersky for Windows Server en el servidor windows de ficheros. La protección de la estación de trabajo protege la infección del equipo mediante 2 métodos: Las firmas de los módulos de antivirus de Internet y ficheros (actualizaciones clásicas del antivirus) y la KSN (Kaspersky Security Network) que es un servicio de consulta a tiempo real de la reputación del fichero entre la comunidad de usuarios de la KSN. Si a pesar de todo, el malware consiguiera ejecutarse, lograría finalmente encriptar los ficheros del equipo pero no los del servidor, ya que muy posiblemente el módulo Anticryptor del Kaspersky for Windows Servers bloquearía al equipo atacante impidiéndole acceder al servidor.

Si me acabo de dar cuenta de que estoy infectado, ¿Qué debo hacer?

1.- Apaga el equipo a la máxima velocidad posible, es decir desconéctalo de la alimentación.
3.- Desconecta todos los cables del equipo, abre el equipo extrae el disco duro y conéctalo con un lector de discos USB a otro equipo que disponga de Kaspersky EndPoint 10 y lanza un análisis personalizado contra la unidad infectada. (Este proceso nos puede ayudar a desinfectar el equipo y/o identificar exactamente el malware atacante)
4.- Copia todos los ficheros (encriptados y los no encriptados) en una otra unidad USB externa a modo de copia de seguridad, (puedes enviar esta copia a alguna empresa de expertos que pueda tratar de desencriptar los ficheros o bien manda el equipo original completo).

¿Puedo desencriptar mis ficheros de algún modo?

Normalmente no, si que existen herramientas de desencriptado (tanto de Kaspersky como de otros fabricantes) pero suelen funcionar con versiones del malware muy concretas o antiguas y es improbable que estemos infectados con ellas. Es decir, lo que suele ocurrir en la mayoría de los casos es que usuario es infectado con la última versión del virus y no existe una herramienta de desencriptado en ese momento del tiempo.

Moneda
EUR Euro
USD Dólar de los Estados Unidos (US)