viernes, 14 de octubre de 2022

PASOS A SEGUIR SI UN PC SE HA INFECTADO POR UN RANSOMWARE

   

  El ransomware impide a los usuarios acceder a su sistema o archivos digitales, ya que los ficheros han sido cifrados y exige el pago de un rescate para recuperarlos y puede infectar un ordenador de muchas formas. Normalmente las víctimas son empresas, pero también hay variantes de ransomware dirigidas a usuarios incautos.

PRIMER PASO: AISLAR

 Es obligatorio identificar todos los dispositivos que estén infectados para desconectarlos de la red (ya sea de forma inalámbrica o con cable), de esta manera, el ransomware no se extenderá por smartphones, portátiles o tablets.

  Durante el procedimiento, se recomienda quitar las unidades de red, los discos externos, las unidades flash y las cuentas de almacenamiento en el cloud. 

AISLA DE INMEDIATO LOS DISPOSITIVOS INFECTADOS

     Lo primero que debe hacer si su PC con Windows se infecta con ransomware es buscar todos los equipos y otros dispositivos de la red que estén infectados y desconectarlos (ya estén conectados con cable o de forma inalámbrica). Así impedirá que el ransomware se extienda y se apodere de más equipos, tabletas y smartphones.

     Durante este procedimiento, desconecte también todo lo que esté conectado a los dispositivos de su red, lo que incluye:

  • Unidades de red compartidas o no compartidas.
  • Discos duros externos.
  • Unidades flash.
  • Cuentas de almacenamiento en el cloud.
     Para completar este paso, compruebe si cualquiera de estos elementos ha estado conectado al PC infectado. Si sospecha que así es, deberá comprobar también esos sistemas en busca de mensajes de rescate.

IDENTIFICAR EL TIPO DE RANSOMWARE

    A continuación, averigüe a qué cepa de ransomware se enfrenta. Esta información puede ayudarte a dar con una solución.

    Las víctimas pueden identificar el tipo de ransomware mediante la herramienta Crypto Sheriff de 'No More Ransom' y ofrecida por el Centro Europeo de Ciberdelincuencia de Europol.

     Esta útil herramienta, ofrecida por el Centro Europeo de Ciberdelincuencia de Europol, comprueba los archivos que el atacante ha cifrado y la nota de rescate. Si Crypto Sheriff reconoce el cifrado y dispone de una solución, le proporciona un enlace para descargar el programa de descifrado que necesita.

     Se tendrán que comprobar los archivos que el atacante haya cifrado junto a la nota de rescate. Si Crypto Sheriff reconoce el cifrado y ofrece una solución, proporcionará a los usuarios un enlace para descargar el programa de descifrado.

TIPOS DE RANSOMWARE PARA PC's DOMÉSTICOS

     Los tipos más problemáticos de ransomware son los filecoders tipo WannaCry o CryptoLocker. Otras variantes, como los screenlockers, suelen ser más fáciles de eliminar. Aquí tienes un breve resumen general:

  • Los filecoders: cifran y bloquean los archivos en su Pc. Los ciberdelincuentes tras este tipo de ransomware exigen un pago a cambio de las claves de descifrado, normalmente con un plazo límite, o los archivos podrían resultar dañados, destruidos o bloqueados de forma permanente. Alrededor del 90% de las cepas de ransomware son filecoders.



  • El scareware: suele bombardear con anuncios emergentes de una falsa herramienta de seguridad y exige un pago a cambio de arreglar supuestos problemas en el Pc. Es el tipo de ransomware más sencillo de eliminar y suele ser el menos problemático de todos.



  • El ransomware de doxing: consiste en un correo electrónico o un mensaje donde se anuncia que los ciberdelincuentes tienen sus nombres de usuario, contraseñas, correos electrónicos o mensajes instantáneos, y que los harán públicos a menos que les pague una cantidad.



  • Los screenlockers: hacen exactamente lo que indica su nombre: bloquean la pantalla y así el accesoa la máquina. Suelen hacerse pasar por mensajes de una institución oficial como el Departamento de Seguridad Interior de Estados Unidos o el FBI, e indican que ha incumplido la ley y que debe pagar una multa para poder desbloquear el Pc. Los screenlockers son ya más comunes en dispositivos Android que en Pc con Windows.

Aunque la vasta mayoría de los ataques de ransomware se dirigen exclusivamente contra los Pc con Windows, las cuatro variantes arriba indicadads pueden infectar Mac y dispositivos iOS y Android.

LA MEJOR DEFENSA, LA PREVENCIÓN

   Copias de seguridad con la regla 3-2-1 como estrategia general de gestión de datos. La regla 3-2-1 recomienda que haya al menos tres copias de los datos importantes en dos tipos diferentes de medios y al menos una de esas copias desde estar off-site, offline, aislada de conexión a internet o de red.

REGLA DEL 3,2,1: 

    3 COPIAS DE SEGURIDAD, 2 DE ELLAS EN MEDIOS DIFERENTES Y 1 EN UNA UBICACIÓN FÍSICA DIFERENTE.

     VECTORES DE ENTRADA

  • Aumento de los privilegios: mediante el uso de exploits disponibles fácilmente, como EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto (RATs, por sus siglas en inglés), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de seguridad.
  • Movimientos laterales: y búsqueda a través de la red de servidores de archivos y copias de seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. 
    Para acelerar el ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde incluso puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en paralelo.
  • Ataques remotos: Los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas de usuario final.

CONSEJO BÁSICO DE SEGURIDAD EN WINDOWS: MOSTRAR LA EXTENSIÓN REAL DE UN ARCHIVO  

     Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

1. Para abrir opciones de carpeta, haga clic en el botón Inicio, en Panel de Control, en Apariencia y personalización y, por último, en Opciones de Carpeta.

2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:

  • Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
     Desmarcar Ocultar las extensiones de nombre de archivo para tipos de archivo conocidos.

Antes: .PDF

Ahora mostrará: .PDF.EXE

Ejemplos: 

Antes: los ficheros son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento.


Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.



DESACTIVAR WINDOWS SCRIPT HOST 

     Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos  Microsoft Windows hizo proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.

     Windows Script Host (WSH) se usa para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.

     Extensiones de ficheros bloqueadas:

  • .HTA
  • .JSE
  • .JS
  • .VBS
  • .VBE
  • .WSF

DESACTIVAR SCRIPTS POWERSHELL 

     Abrir ventana 'cmd' en modo administrador y teclee lo siguiente:

powershell Set-ExecutionPolicy -ExecutionPolicy Restricted

  Para volver a habilitar la función, y dependiendo del nivel de funcionalidad, suponiendo que no queremos ninguna restricción:

powershell Set-ExecutionPolicy -ExecutionPolicy Unrestricted

     Lo dicho, si no lo usas, desactívalo.


Fuente: blog.elhacker.net

No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...