Introducción
De un tiempo a esta parte es común que aparezcan noticias de
oleadas de infecciones masivas a cargo de un tipo de malware denominado ransomware en pcs con MS Windows. De ahí que pensé que sería una entrada interesante del
blog, donde exponer un poquito el tema. Además quiero aprovechar e intentar dar unas directrices generales y útiles relacionadas con la
seguridad de la información para la mayoría de los usuarios independientemente de la plataforma que utilicen. Por otra parte, las medidas preventivas concretas relacionadas con el
ransomware estarán relacionadas con la plataforma MS Windows.
Ransomware
Ransomware es un tipo de malware que tiene como finalidad
“secuestrar” impidiendo el acceso/ cifrando ficheros contenidos en discos duros
y unidades compartidas de Red a las que el usuario infectado tenga acceso y
permisos de escritura.
El nivel de robustez de los algoritmos usados por este tipo de
malware ha ido “in crescendo”, de la misma forma que los diferentes tipos y
versiones de ransomware. Los algoritmos usados actualmente usan algoritmos de
cifrado muy robustos minimizando las posibilidades de descifrar los ficheros
infectados. Aun así no está todo perdido, hay en la Red algunos kits de descifrado
de ransomware que con un poco de suerte pueden sacarnos de algún apuro.
Una característica de este tipo de malware es la solicitud del
pago de un “rescate” para poder descifrar el contenido de los ficheros
infectados fraguándose alrededor de este tipo de malware un auténtico negocio.
Ejemplos de este tipo de malware son los conocidos:
Ejemplos de este tipo de malware son los conocidos:
-Virus de la policía
-Cryptolocker
-Teslalocker
-CBL-locker
¿Cómo se lleva a cabo la infección?
Los modos de infección son variados, pero los más comunes están relacionados:
- Con la recepción de correos fraudulentos, que pueden albergar:
o Adjuntos
que contienen el malware
o Urls
desde las que se descarga/ ejecuta el malware explotando alguna vulnerabilidad
del navegador, de algún plugin/complemento, flash, java, etc
o
Ej:
Correo electrónico suplantando a Correos para que recojas un paquete
- Navegando por Internet a través de páginas desde las que se descarga/ ejecuta el malware explotando alguna vulnerabilidad del navegador, de algún plugin/complemento, flash, java, etc.
¿Cómo detecto que estoy infectado?
La forma de detectar que estamos infectados por este tipo de
malware dependerá del malware en sí. Algunas versiones de CBL-Locker cambian el
fondo de escritorio por uno en el que aparecen instrucciones a seguir para la
recuperación de los ficheros infectados. Otros de los indicios que considero
más llamativo es la desaparición de archivos con extensiones .doc .docx, .xls,
.xlsx, .txt, etc y la aparición de otros con extensiones poco comunes que nos
deben hacer pensar que algo está pasando en la máquina.
¿Qué debo hacer si detecto que estoy infectado por algún tipo de
malware ransomware?
Lo primero, como en todas las circunstancias que nos pueden
resultar excepcionales mantener la calma. Inmediatamente desconectar la máquina de la red para evitar que el malware infecte
recursos compartidos en la red.
Lo siguiente será “correr” un antimalware, por ejemplo Malwarebytes
Anti-malware, el cual a mí personalmente me ha servido para desinfectar equipos
que se habían visto afectados por este tipo de malware.
En este punto me gustaría pararme, y resaltar una cuestión.
Según el tipo de malware, éste puede borrar el fichero original dejándonos sólo
el cifrado. Si una vez infectados tenemos que instalar por ejemplo un
antimalware, es posible que estemos machacando “por debajo” la información
borrada cerrándonos la posibilidad de poder recuperar posteriormente dicha
información borrada con alguna herramienta diseñada para tal efecto. En este
caso una vez más se cumple aquello de “es mejor prevenir que curar”.
Una vez pasado el antimalware, si éste no ha afectado el MBR una
vez reiniciado el equipo tendremos el equipo desinfectado, pero la información
seguirá cifrada. Eso es harina de otro costal.
¿Con la información cifrada qué hago?
Ahora es el momento de enfrentarnos al problema de la
información cifrada. PAGAR el
rescate NO ES UNA OPCIÓN. Primero
porque no garantiza que recuperes la información, segundo porque estaríamos
haciendo rentable este negocio del malware financiando estos proyectos.
Gran parte de las opciones que tendremos ahora pasarán por lo
prevenidos que hayamos sido con anterioridad. ¿Por qué?
1. Si
hubiéramos tenido la precaución de haber llevado a cabo backups, una
posibilidad sería restaurarlos. De lo contrario, una opción menos.
2. Si
hubiéramos creado un punto de restauración anterior a la infección podríamos
volver a dicho estado y recuperar nuestros ficheros. De lo contrario, una
opción menos.
3. Si
tuviéramos instaladas herramientas que podríamos llegar a necesitar en este
caso como por ejemplo un antimalware, una herramienta de recuperación de
ficheros borrados, etc, no tendríamos que instalarlas una vez infectados
minimizando las posibilidades de poder rescatar mucha de la información borrada
al existir muchas opciones de que hayan sido machacadas durante la instalación
de las herramientas.
Vale, no he tenido en cuenta nada de lo descrito anteriormente…
¿Qué hago?
1. La
primera opción es según el tipo y la versión del malware ver si el antivirus/
antimalware que tenemos instalado es capaz de descifrar los ficheros. El año
pasado me encontré con una cepa del virus CryptoLocker que los ficheros
cifrados por él fueron descifrados por un antivirus como McAfee.
2. Correr
algún kit de descifrado de ransomware de los que hay por la red, rezar y
esperar que éste sea capaz de descifrar nuestra información.
3. Correr
alguna herramienta de recuperación de ficheros para ver si podemos sacar algo.
4. Resignarnos,
aprender de lo ocurrido y poner medios para que no nos vuelva a ocurrir.
¿Cómo protegernos del ransomware? Directrices generales de
seguridad.
Podría tirar de teoría y hacer esta entrada mucho más larga pero
vamos al grano y que sea útil a la mayoría de los mortales. Tengo que decir que
estas directrices son generales para mantener un nivel aceptable en Seguridad
de la Información independientes del SO y del tipo de malware, pero que nos servirán como medidas de
prevención frente al ransomware.
Lo primero que tenemos que asumir en todas las
cuestiones de Seguridad, de la información o no, es que más vale prevenir que curar. Esto trae una serie de implicaciones
no siempre cómodas de ejecutar pero hay que intentar encontrar un equilibrio entre Seguridad y Usabilidad.
1. Es
un tópico pero el sentido común (que
es el menos común de los sentidos) tiene que ser nuestra primera barrera. Por ejemplo:
Recibimos un correo de “Correos y telégrafos”
- ¿Estamos esperando algún paquete?
- Si no estamos esperando ningún paquete debería alertarnos, no lo abras
- Si lo estamos esperando pero el remitente es un remitente extraño proveniente de un dominio sospechoso, no lo abras.
- En caso de dudas, no lo abras.
2. No abras correos de remitentes
desconocidos, no abrirías
la puerta de tu casa a un desconocido ¿verdad?
3. Navega con responsabilidad, tú sabrás que tipo de contenido
consumes y de dónde.
4. Regularmente
lleva a cabo copias de seguridad de tus documentos más importantes en unidades
externas al Sistema. Si la información es sensible ¡cífrala!
5. Crea
de vez en cuando puntos de restauración
que te permita volver a un estado anterior consistente en caso de emergencia.
Desde Windows puede hacerse directamente, si eres usuario de Gnu/ Linux puedes
usar herramientas tipo Systemback.
6. Es
otro tópico pero mantén tanto tu sistema
operativo como tu software actualizado. Esto es una cosa que creo casi todo
el mundo tiene asumido pero la mayoría del personal no cumple. Deberíamos prestar
especial atención a las actualizaciones del SO, del navegador, de Java, Flash y
Acrobat Reader.
7.
Hazte
con un arsenal efectivo de aplicaciones,
con eso no estoy diciendo que tengamos 3 antivirus, 7 antimalware y EMET
corriendo simultáneamente. Para un usuario normal podría tener su antivirus “corriendo”,
si usas Windows podrías tener corriendo además EMET. Además debería contar con algún
antimalware, alguna herramienta de recuperación de ficheros borrados en la
recámara que usaremos de vez en cuando, no hace falta tenerlo todo “corriendo”.
8. Usa habitualmente un usuario
“perruno” (con pocos privilegios) para tus tareas ordinarias y un usuario
con permisos de administrador sólo para administrar, obviamente esto es
aplicable tanto en Windows como en Gnu/ Linux.
9. Sólo
mantén corriendo en el sistema las aplicaciones necesarias en cada momento. No
tiene sentido que tengas corriendo un servidor sftp si no lo vas a usar. La
cuestión es estar expuesto lo mínimo posible en cada momento, “cuantas más
cosas diferentes tengamos ejecutándose a más cosas estamos expuestos”.
Medidas
de protección concretas para MS Windows
Sabéis
que no soy partidario de reinventar la rueda, así que si hay recursos
accesibles de buena calidad que me han servido para que voy a intentar hacer
una aproximación a los mismos. Os los enlazo. A continuación hago referencia a
una URL que trata medidas concretas para protegernos del ransomware en general y de Cryptolocker en
particular en Windows ya que la mayoría de los usuarios aún lo son de este
sistema operativo, así como el número de usuarios infectados. Hay que tener en
cuenta que las limitaciones de ejecución en ciertos directorios como medida de
seguridad puede influir en la ejecución de programas lícitos por lo que a lo mejor puntualmente para llevar a cabo ciertas instalaciones/ procesos debemos
deshabilitar dichas limitaciones temporalmente.
Espero
no haber cansado demasiado con la lectura de esta entrada, creo que puede
resultar muy útil.
A
continuación se enlazan varias URLs interesantes relacionadas con el tema,
algunas de ellas están en inglés.
¡Nos
leemos en la próxima entrada!
http://www.securitybydefault.com/2015/06/analisis-de-un-ransomware-de-cifrado.html
