El ransomware impide a los usuarios acceder a su sistema o archivos digitales, ya que los ficheros han sido cifrados y exige el pago de un rescate para recuperarlos y puede infectar un ordenador de muchas formas. Normalmente las víctimas son empresas, pero también hay variantes de ransomware dirigidas a usuarios incautos.
PRIMER PASO: AISLAR
Es obligatorio identificar todos los dispositivos que estén infectados para desconectarlos de la red (ya sea de forma inalámbrica o con cable), de esta manera, el ransomware no se extenderá por smartphones, portátiles o tablets.
Durante el procedimiento, se recomienda quitar las unidades de red, los discos externos, las unidades flash y las cuentas de almacenamiento en el cloud.
AISLA DE INMEDIATO LOS DISPOSITIVOS INFECTADOS
Lo primero que debe hacer si su PC con Windows se infecta con ransomware es buscar todos los equipos y otros dispositivos de la red que estén infectados y desconectarlos (ya estén conectados con cable o de forma inalámbrica). Así impedirá que el ransomware se extienda y se apodere de más equipos, tabletas y smartphones.
Durante este procedimiento, desconecte también todo lo que esté conectado a los dispositivos de su red, lo que incluye:
- Unidades de red compartidas o no compartidas.
- Discos duros externos.
- Unidades flash.
- Cuentas de almacenamiento en el cloud.
IDENTIFICAR EL TIPO DE RANSOMWARE
A continuación, averigüe a qué cepa de ransomware se enfrenta. Esta información puede ayudarte a dar con una solución.
Las víctimas pueden identificar el tipo de ransomware mediante la herramienta Crypto Sheriff de 'No More Ransom' y ofrecida por el Centro Europeo de Ciberdelincuencia de Europol.
Esta útil herramienta, ofrecida por el Centro Europeo de Ciberdelincuencia de Europol, comprueba los archivos que el atacante ha cifrado y la nota de rescate. Si Crypto Sheriff reconoce el cifrado y dispone de una solución, le proporciona un enlace para descargar el programa de descifrado que necesita.
Se tendrán que comprobar los archivos que el atacante haya cifrado junto a la nota de rescate. Si Crypto Sheriff reconoce el cifrado y ofrece una solución, proporcionará a los usuarios un enlace para descargar el programa de descifrado.
TIPOS DE RANSOMWARE PARA PC's DOMÉSTICOS
Los tipos más problemáticos de ransomware son los filecoders tipo WannaCry o CryptoLocker. Otras variantes, como los screenlockers, suelen ser más fáciles de eliminar. Aquí tienes un breve resumen general:
- Los filecoders: cifran y bloquean los archivos en su Pc. Los ciberdelincuentes tras este tipo de ransomware exigen un pago a cambio de las claves de descifrado, normalmente con un plazo límite, o los archivos podrían resultar dañados, destruidos o bloqueados de forma permanente. Alrededor del 90% de las cepas de ransomware son filecoders.
- El scareware: suele bombardear con anuncios emergentes de una falsa herramienta de seguridad y exige un pago a cambio de arreglar supuestos problemas en el Pc. Es el tipo de ransomware más sencillo de eliminar y suele ser el menos problemático de todos.
- El ransomware de doxing: consiste en un correo electrónico o un mensaje donde se anuncia que los ciberdelincuentes tienen sus nombres de usuario, contraseñas, correos electrónicos o mensajes instantáneos, y que los harán públicos a menos que les pague una cantidad.
- Los screenlockers: hacen exactamente lo que indica su nombre: bloquean la pantalla y así el accesoa la máquina. Suelen hacerse pasar por mensajes de una institución oficial como el Departamento de Seguridad Interior de Estados Unidos o el FBI, e indican que ha incumplido la ley y que debe pagar una multa para poder desbloquear el Pc. Los screenlockers son ya más comunes en dispositivos Android que en Pc con Windows.
Aunque la vasta mayoría de los ataques de ransomware se dirigen exclusivamente contra los Pc con Windows, las cuatro variantes arriba indicadads pueden infectar Mac y dispositivos iOS y Android.
LA MEJOR DEFENSA, LA PREVENCIÓN
Copias de seguridad con la regla 3-2-1 como estrategia general de gestión de datos. La regla 3-2-1 recomienda que haya al menos tres copias de los datos importantes en dos tipos diferentes de medios y al menos una de esas copias desde estar off-site, offline, aislada de conexión a internet o de red.
REGLA DEL 3,2,1:
3 COPIAS DE SEGURIDAD, 2 DE ELLAS EN MEDIOS DIFERENTES Y 1 EN UNA UBICACIÓN FÍSICA DIFERENTE.
VECTORES DE ENTRADA
- Aumento de los privilegios: mediante el uso de exploits disponibles fácilmente, como EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto (RATs, por sus siglas en inglés), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de seguridad.
- Movimientos laterales: y búsqueda a través de la red de servidores de archivos y copias de seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde incluso puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en paralelo.
- Ataques remotos: Los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas de usuario final.
CONSEJO BÁSICO DE SEGURIDAD EN WINDOWS: MOSTRAR LA EXTENSIÓN REAL DE UN ARCHIVO
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.
- Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.
DESACTIVAR WINDOWS SCRIPT HOST
Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.
Windows Script Host (WSH) se usa para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.
Extensiones de ficheros bloqueadas:
- .HTA
- .JSE
- .JS
- .VBS
- .VBE
- .WSF
DESACTIVAR SCRIPTS POWERSHELL
Abrir ventana 'cmd' en modo administrador y teclee lo siguiente:
Lo dicho, si no lo usas, desactívalo.
Fuente: blog.elhacker.net
No hay comentarios.:
Publicar un comentario