Llegamos a ustedes gracias a:



Reportajes y análisis

Cryptolocker: Cómo evitar ser infectado y qué hacer si lo está

Hay una nueva pieza de ransomware, aquí le mostramos cómo proteger los activos de su empresa

[25/11/2013] Hay una gran amenaza rondando la Internet en estos momentos: un pedazo particularmente repugnante de ransomware llamado Cryptolocker. Muchas, muchas organizaciones están siendo infectadas con este malware; pero afortunadamente, hay maneras exitosas y seguras para evitarlo, así como formas de mitigar el daño sin que los maleantes ganen.
¿Qué es Cryptolocker?
Cryptolocker llega a través de la ingeniería social. Generalmente la carga útil de los virus se esconden en los archivos adjuntos de un mensaje de phishing, uno que pretende ser de un negocio de fotocopiadoras como Xerox que está entregando un PDF de una imagen escaneada, de un servicio de distribución importante como UPS o una información de seguimiento de FedEx, o una carta del banco confirmando una transferencia ACH.
Nota de rescate de Cryptolocker para los usuarios infectados.
El virus es, por supuesto, un archivo adjunto ejecutable, pero, curiosamente, el ícono que representa el archivo ejecutable es un archivo PDF con funciones de extensiones ocultas de Windows, el remitente no hace sino aumentar .pdf al final del archivo (Windows oculta la extensión .exe) y el usuario sin saberlo se engaña pensando que el archivo adjunto es un archivo PDF de un remitente de confianza. Es, por supuesto, cualquier cosa menos inofensivo.
Una vez que Cryptolocker está en la puerta, se dirige a los archivos con las siguientes extensiones:
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Cuando encuentra un archivo que coincida con esa extensión, cifra el archivo con una clave pública, y luego hace un registro del archivo en el registro de Windows bajo HKEY_CURRENT_USER\Software\CryptoLocker\Files. A continuación, se le dice al usuario que sus archivos han sido cifrados y que él o ella deben utilizar tarjetas de prepago o Bitcoin para enviar cientos de dólares al autor del malware.
Una vez realizado el pago, el descifrado empieza. Normalmente hay un límite de tiempo de cuatro días en la opción de pago, el autor del malware afirma que la clave privada necesaria para descifrar los archivos se puede eliminar si el rescate no se recibe a tiempo. Si se elimina la clave privada, sus archivos esencialmente nunca podrán ser descifrados -puede tratar forzar la clave, pero en la práctica, eso tomaría millones de años. Efectivamente, los archivos se han ido.
En la actualidad, las únicas versiones de Cryptolocker apuntan a archivos y carpetas en unidades locales y unidades mapeadas de red. El malware actual no intenta esparcirse por caminos convencionales de red, aunque uno podría conjeturar que esto es un cambio relativamente sencillo para el autor del ransomware.
Los programas antivirus y anti-malware, ya sea que se ejecuten en los puntos finales o realicen la limpieza de los correos electrónicos entrantes, tienen un momento particularmente difícil para detener esta infección. A menos que tenga una regla de filtrado de correo electrónico que excluya los adjuntos ejecutables, y que esa herramienta sea lo suficientemente inteligente como para hacerlo sin permitir que el usuario solicite el retorno del elemento de la cuarentena, verá que los usuarios recibirán estos mensajes de phishing que intentan introducir Cryptolocker. Es solo cuestión de tiempo.
Prevención: Las políticas de restricción de software y AppLocker
A partir de ahora, la mejor herramienta a utilizar para prevenir una infección Cryptolocker -ya que sus opciones para remediar la infección implican tiempo, dinero, pérdida de datos o las tres cosas- es una directiva de restricción de software. Hay dos tipos: las políticas regulares de restricción de software, y a continuación, las directivas mejoradas de AppLocker. Voy a cubrir cómo utilizar ambas para prevenir las infecciones Cryptolocker.
Políticas de restricción de software
Las directivas de restricción de software (SRP) le permiten controlar o prevenir la ejecución de algunos programas mediante el uso de directivas de grupo. Puede utilizar SRP para bloquear los archivos ejecutables en las zonas de espacio de usuario específicas que Cryptolocker utiliza para cargarse. El mejor lugar para hacer esto es a través de la directiva de grupo, aunque si es un usuario doméstico experto o una empresa más pequeña sin un dominio, puede iniciar la herramienta de seguridad local y hacer lo mismo.
Un consejo: si está utilizando la directiva de grupo, cree un nuevo GPO para cada política de restricción. Esto hace que sea más fácil desactivar una política que podría ser excesivamente restrictiva.
He aquí cómo hacerlo:
1. Abra el editor de directiva de seguridad local o el editor de objetos de directiva de grupo y cree un nuevo GPO. Le voy a mostrar cómo crear dos aquí -uno para equipos con Windows XP (que utiliza caminos ligeramente diferentes para el espacio de usuario) y otra para Windows Vista y posteriores.
2. Nombre al nuevo GPO "SRP para XP para evitar Cryptolocker" o algo similar
3. Escoja 'configuración de la computadora' y navegue a través de las políticas de configuración de Windows, seguridad y de restricción de software.
4. Haga clic derecho en las 'políticas de restricción de software' y seleccione 'nueva directiva de restricción de software' en el menú contextual.
5. Ahora, cree las reglas actuales que alcanzarán al software sobre el que desea aplicar una restricción. Haga clic en las 'reglas adicionales' en el panel de la izquierda. Elija 'regla de nueva ruta'.
6. Bajo esta ruta, introduzca %AppData%\*. Exe.
7. En nivel de seguridad, seleccione 'no permitido'.
8. Ingrese una descripción amable, como 'impedir que los programas se ejecuten en AppData'.
9. Escoja 'regla de nueva ruta', y establezca una nueva norma como la que se acaba de completar. Utilice la tabla siguiente para completar el resto de este GPO.
Ruta
Nivel de seguridad
Descripción sugerida
%AppData%\*.exe
No permitido
Prevenir que el ejecutable Cryptolocker corra en AppData*
%AppData%\*\*.exe
No permitido
Prevenir que las cargas de virus se ejecuten en sub carpetas de AppData
%UserProfile%\configuración local\Temp\Rar*\*.exe
No permitido
Prevenir que ejecutables un-WinRARed en adjuntos de correo electrónico se ejecuten en el espacio del usuario
%UserProfile%\configuración local\Temp\7z*\*.exe
No permitido
Prevenir que ejecutables un-7Ziped en adjuntos de correo electrónico se ejecuten en el espacio de usuario
%UserProfile%\configuración local\Temp\wz*\*.exe
No permitido
Prevenir que ejecutables un-WinZIPed en adjuntos de correo electrónico se ejecuten en el espacio de usuario
%UserProfile%\configuración local\Temp\*.zip\*.exe
No permitido
Prevenir que ejecutables sin archivar en adjuntos de correo electrónico se ejecuten en el espacio de usuario
* Tenga en cuenta esta entrada estaba cubierta en los pasos 5-8. Se incluyen aquí para una fácil referencia.
WinRAR y 7Zip son los nombres de los programas de compresión de uso común en el entorno Windows.
Cierre la política.
Para proteger a Windows Vista y máquinas más nuevas, cree otra GPO y llámela "SRP para Windows Vista y para prevenir Cryptolocker". Repita los pasos anteriores para crear el SRP y establezca reglas de ruta, según la tabla siguiente.
Ruta
Nivel de seguridad
Descripción sugerida
%AppData%\*.exe
No permitido
Prevenir que el ejecutable Cryptolocker corra en AppData*
%AppData%\*\*.exe
No permitido
Prevenir que las cargas de virus se ejecuten en sub carpetas de AppData
%LocalAppData%\Temp\Rar*\*.exe
No permitido
Prevenir que ejecutables un-WinRARed en adjuntos de correo electrónico se ejecuten en el espacio del usuario
%LocalAppData%\Temp\7z*\*.exe
No permitido
Prevenir que ejecutables un-7Ziped en adjuntos de correo electrónico se ejecuten en el espacio de usuario
%LocalAppData%\Temp\wz*\*.exe
No permitido
Prevenir que ejecutables un-WinZIPed en adjuntos de correo electrónico se ejecuten en el espacio de usuario
%LocalAppData%\Temp\*.zip\*.exe
No permitido
Prevenir que ejecutables sin archivar en adjuntos de correo electrónico se ejecuten en el espacio de usuario
Cierre la política.
Una vez que estos GPO se sincronizan en sus máquinas -esto puede tardar hasta tres reinicios, así que deles tiempo- cuando los usuarios intentan abrir archivos ejecutables de los archivos adjuntos de correo electrónico, van a ver un mensaje de error que les dice que su administrador ha bloqueado el programa. Esto evitará que el archivo adjunto Cryptolocker se ejecute.
Por desgracia, al tomar este enfoque de bloquear "todos los puntos" significa que otros programas que los usuarios instalen desde la web, como recordatorios de reuniones GoTo y otras utilidades pequeñas que no tienen fines legítimos, también serán bloqueados. Sin embargo, hay una solución: Se pueden crear reglas de permiso ad-hoc en el software de restricción de directiva GPO. Windows permite estas aplicaciones en la 'lista blanca' antes de denegar cualquier otra cosa, por lo que mediante la definición de estas excepciones en el SRP GPO, podrá indicarle a Windows para que ejecute esas aplicaciones al tiempo que bloquea todo lo demás. Basta con establecer el nivel de seguridad a 'sin restricciones', en lugar de 'no permitido' como lo hicimos anteriormente.
AppLocker
AppLocker es la característica SRP en esteroides. Sin embargo, solo funciona en Windows 7 Ultimate o Windows 7 Enterprise o Windows 8 Pro o Windows 8 Enterprise Edition, así que si todavía estás en Windows XP por el momento, o si tiene un importante contingente de equipos con Windows Vista, AppLocker no va a hacer nada por usted.
Pero si es una empresa más grande, con licencias por volumen que está implementando las ediciones Enterprise del sistema operativo, AppLocker es muy útil en la prevención de infecciones Cryptolocker porque solo tiene que bloquear que se ejecuten los programas - excepto los de los editores de software específicos que han firmado los certificados.
Esto es lo que debe hacer:
1. Cree un nuevo GPO.
2. Haga clic derecho para editar y navegue a través de 'configuración del equipo * configuración de Windows * configuración de seguridad * directivas de control de aplicaciones y AppLocker'.
3. Haga clic en 'configuración de la aplicación de la regla'.
4. En 'reglas ejecutables', marque la casilla 'configurado' y asegúrese de que 'reforzar reglas' esté seleccionada en el cuadro desplegable. Haga clic en 'aceptar'.
5. En el panel izquierdo, haga clic en 'reglas de ejecutables'.
6. Haga clic en el panel derecho y seleccione 'crear nueva regla'.
7. En la pantalla 'antes de comenzar', haga clic en siguiente.
8. En la pantalla 'permisos', haga clic en 'siguiente'.
9. En la pantalla 'condiciones', seleccione la condición 'publisher' y haga clic en 'siguiente'.
10. Haga clic en el botón 'examinar' y busque cualquier archivo ejecutable en el sistema. No importa cuál.
11. Deslícese hacia arriba hasta 'cualquier editor' y haga clic en 'siguiente'.
12. Haga clic en 'siguiente' en la pantalla 'excepciones'.
13. Dele a la política un nombre algo así como "sólo ejecutables que estén firmados" y haga clic en 'crear'.
14. Si es la primera vez que crea una política de AppLocker, Windows le preguntará si desea crear reglas predeterminadas -siga adelante y haga clic en ''.
NOTA: También aproveche esta oportunidad para revisar los permisos establecidos en sus listas de archivos compartidos de control de acceso al servidor, o ACL. Cryptolocker no posee ninguna capacidad especial para anular o denegar permisos, por lo que si el usuario que se infecta se registra en una cuenta que tiene permisos muy limitados, el daño será mínimo. Por el contrario, si se permite que el grupo 'Todos' tenga acceso de escritura para los permisos NTFS en la mayor parte de sus recursos compartidos de archivos y utiliza las unidades asignadas, una infección Cryptolocker podría ponerlo en un mundo de dolor. Revise sus permisos ahora. Apriete donde pueda. Trabaje con su línea de proveedores de aplicaciones de negocio para apretar aún más los permisos sueltos que están obligados por compatibilidad -a menudo estas especificaciones son innecesariamente amplias.
Con el uso de una política de AppLocker o SRP, puede evitar que Cryptolocker se ejecute y se ahorrará un montón de problemas.
Mitigación: Las versiones anteriores (instantáneas) y ShadowExplorer
Si tiene la mala suerte de haber sido infectado con Cryptolocker, entonces hay algunas estrategias de mitigación disponibles para usted. (Por supuesto, también se puede restaurar a partir de copias de seguridad). Ambas estrategias implican una herramienta llamada instantáneas que es una parte integral de la función 'Restaurar sistema de Windows'. Esto se activa de forma predeterminada en las versiones cliente de Windows, y las mejores prácticas para la administración de almacenamiento activan esta opción manualmente en servidores de archivos basados en Windows Server. Si ha dejado este ajuste solo, es probable que tenga copias de seguridad adecuadas en su computadora o recurso compartido de archivos.
Versiones anteriores
Para restaurar la versión anterior de un archivo mediante la interfase tradicional de Windows, simplemente haga clic en el archivo en cuestión y seleccione 'propiedades'. Si 'restaurar sistema' está activado o el administrador ha habilitado las instantáneas a través de la directiva de grupo, debe ser capaz de ver la ficha 'versiones anteriores' en la ventana 'propiedades'. Esto mostrará una lista de todas las versiones de la historia del archivo. Elija una versión antes de la infección Cryptolocker y haga clic en 'copiar' para exportar una copia del archivo en otro lugar, o 'restaurar' para hacer estallar el derecho de copia de seguridad a la que pertenece el archivo cifrado. Puede abrir los archivos directamente desde este cuadro también si no está seguro de la fecha y hora exacta de la infección.
ShadowExplorer
ShadowExplorer es una herramienta de descarga gratuita que hace que sea mucho más fácil explorar todas las instantáneas disponibles en el sistema. Esta es una habilidad útil cuando se tiene una amplia gama de archivos infectados con Cryptolocker y necesita restaurar una franja de ellos a la vez.
Al instalar y ejecutar la herramienta, puede seleccionar la unidad y la fecha y hora de las instantáneas desde el menú desplegable en la parte superior de la ventana. Entonces, al igual que en un menú regular del Explorador de Windows, puede elegir la carpeta y el archivo que desee y, a continuación, haga clic derecho y seleccione 'exportar'. Seleccione el destino en su sistema de archivos para poner las instantáneas exportadas ahí, y luego ya tiene la copia de seguridad restaurada. Por supuesto, se trata de una versión anterior, por lo que no puede tener las actualizaciones más recientes de los archivos, pero es mucho mejor que haberlos perdido por completo o tener que pagar un rescate por ellos.
La última palabra
Cryptolocker es detestable. Su creador es un pedazo de basura. Engañar a los usuarios para que descarguen algo que cifra sus archivos y luego exigirles cientos de dólares para devolverles sus propios datos es despreciable. Por favor, tome medidas ahora para que no tenga que ser quien dé su dinero y haga que esta basura continúe.
Jonathan Hassell, Computerworld (EE.UU.)