[KB3433] Mejores prácticas para protegerse ante el código malicioso Filecoder (ransomware)

Escenario

  • Este articulo incluye mejores prácticas para ayudar a configurar su sistema y protegerlo frente a ransomware

Detalles

El ransomware es un código malicioso que puede bloquear un dispositivo o encriptar sus contenidos con el objetivo de extorsionar al propietario para que éste obtenga acceso a tales recursos. Esta clase de malware también puede poseer un reloj propio con una fecha límite de pago que debe ser cumplida, pues de lo contrario el precio para que se desbloquee la información y el hardware se incrementará  – o la información y el dispositivo permanecerán en última instancia inaccesibles de manera definitiva.

Filecoders/Ransomware son infecciones que encriptan información y archivos personales. Usualmente un equipo es infectado y luego el Filecoder/Ransomware intentará encriptar cualquier unidad de red compartida que se encuentre mapeada. Este accionar puede hacer creer que la infección se encuentra diseminándose por la red cuando en verdad no es así.

Si bien sus archivos pueden encontrarse infectados, su sistema podría no estarlo. Esto ocurre, por ejemplo, cuando una unidad compartida en el servidor de archivos se halla encriptada pero el servidor en sí no contiene una infección por malware (a menos que se trate de un Terminal server).

Otras amenazas de filecoder son conocidas como:

Solución

Haga clic en cada imagen para abrir una nueva ventana para conocer configuraciones de políticas y mejores prácticas anti-ransomware adicionales:

Las actuales vesiones de los productos ESET utilizan múltiples capas de tecnologías para proteger a los equipos frente al ransomware.

Ejemplos de tales tecnologías incluyen la Exploración de memoria avanzada, sistema de reputación ESET LiveGrid®  y Bloqueador de exploits.

Adicionalmente, los últimos productos ESET proveen un módulo de Protección contra Botnets mejorado que bloquea la comunicación entre el ransomware y los servidores Command and Control (C&C). 

Prácticas generales anti-ransomware | Prácticas anti-ransomware en el producto ESETRecuperación de archivos encriptadosEquipo de soporte de ESET

Prácticas generales anti-ransomware en el producto ESET

  • Conserve activada la Exploración avanzada de memoria y el Bloqueador de exploits

Ambas funcionalidades se encuentran activadas de modo predeterminado en la versión 5 o posterior de los productos corporativos ESET. Estos nuevos algoritmos de ESET refuerzan la protección contra códigos maliciosos que han sido diseñados para evadir la detección de productos antimalware a través del uso de ofuscación y/o encriptación.

La Exploración avanzada de memoria identifica comportamientos sospechosos luego de que el código malicioso se visibiliza en la memoria y el Bloqueador de exploits fortalece la protección contra los ataques dirigidos y vulnerabilidades previamente no visibilizadas, también conocidas como 0-day.

Recomendamos que actualice hacia la última versión si posee ESET Smart Security o ESET NOD32 Antivirus (incluyendo versiones corporativas) versión 4.x o anterior:

  • Mantenga activada la funcionalidad ESET Live Grid

Ayuda a detectar amenazas emergentes en base a la reputación y mejora el rendimiento de las exploraciones por medio de las listas blancas. La información de la amenaza nueva se transmite en tiempo real a la nube, lo que le permite al Laboratorio de búsqueda de malware de ESET proporcionar una respuesta oportuna y una protección consistente en todo momento.

  • Conserve activada la Heurística avanzada para la ejecución de archivos

    Activa de modo predeterminado a partir de la versión 6.x de los productos corporativos de ESET, esta funcionalidad emula el código en un entorno virtual y evalúa su comportamiento antes de que se permita la ejecución del código, adicionando una capa de seguridad.
  • Verifique que "Unidades de red" se encuentre seleccionado para la Protección del sistema de archivos en tiempo real

Con la protección de Unidades de red activada, la Exploración en tiempo real del sistema de archivos se encontrará posibilitado de iniciar la detección en un equipo infectado, impidiendo que el proceso del ransomware encripte la unidad. Lea Protección del sistema de archivos en tiempo real para mayor información.

  • Mantenga actualizado su producto ESET

Nuevas versiones de estos códigos maliciosos son lanzadas frecuentemente, de manera que es importante que usted reciba las actualizaciones de la base de datos de firmas de virus (su producto ESET buscará nuevas actualizaciones cada una hora si usted posee una licencia vigente y una conexión a Internet estable).

Asegúrese de que ESET LiveGrid se encuentre habilitado y funcional en su producto ESET.

  • Usuarios de máquinas virtuales

    Para optimizar la protección ante el malware Filecoder, recomendamos el uso de ESET Endpoint Security en entornos virtuales. Puede utilizar ESET Endpoint Security con ESET Shared Local Cache para minimizar la carga en su red para evitar que múltiples máquinas virtuales descarguen actualizaciones.

Minimice el riesgo de ser afectado por malware basado en encriptación (ransomware)

  • Conserve copias de seguridad de su sistema

    Planee la realización de copias de seguridad de su sistema en intervalos regulares para proteger su trabajo más reciente ante un ataque.  ESET recomienda el uso de la siguiente solución de resguardo de archivos:
  • Permisos de usuarios y restricción de derechos

    Existen varias clases de restricciones, tales como las de acceso a información de la aplicación e incluso algunas que se encuentran incluidas como Objetos de Directiva de grupo (GPO).
  1. Deshabilitar archivos que se ejecutan desde las carpetas App Data y Local App Data.
  2. Bloquear la ejecución desde el subdirectorio Temp (parte del menú de AppData, de manera predeterminada).
  3. Bloquear archivos ejecutables que se ejecutan desde directorios de trabajo de varias utilidades de descompresión (por ejemplo, Winzip o 7Zip).

    Adicionalmente, en ESET Endpoint Security/Antivirus, ESET Mail Security y ESET File Security, usted puede optar por crear reglas de HIPS para permitir que solamente ciertas aplicaciones se ejecuten en el equipo y bloquear las restantes de manera predeterminada: Crear una regla de HIPS y forzarla en un equipo (6.x)
  • No deshabilite el Control de cuentas de usuario (UAC)

No abra archivos adjuntos que afirman ser faxes, comprobantes o recibos si el remitente posee un nombre sospechoso o usted no esperaba recibirlo.

¿Qué puedo hacer para minimizar el riesgo de un ataque de malware?

  • Deshabilite o cambie el Protocolo de Escritorio Remoto (RDP)

El malware basado en la ofuscación usualmente accede a los equipos utilizando la herramienta Remote Desktop Protocol (RDP) integrada en Windows. RDP permite a otros conectarse al sistema de manera remota, de modo que el atacante puede hacer mal uso de RDP para eliminar la protección y luego implementar el código malicioso.

a)   Deshabilite o cambie Remote Desktop Protocol

Si no requiere el uso de RDP, puede cambiar el puerto predeterminado (3398) o deshabilitar RDP pare proteger su equipo frente a Filecoder y otros exploits de RDP. Para obtener detalles e instrucciones para deshabilitar RDP, visite uno de los siguientes enlaces de la Base de conocimiento de Microsoft:

Obtenga más infomación acerca de RDP, lea el siguiente artículo de We Live Security article: Ataques que se aprovechan de RDP: ¡desde aquí puedo ver tu escritorio!

b )    Proteja mediante una contraseña los ajustes de su producto ESET

Si necesita conservar RDP y no puede deshabilitar o cambiar sus ajustes, puede utilizar una contraseña para proteger el producto ESET ante alteraciones llevadas a cabo por un atacante. Esto impide modificaciones no autorizadas, la desactivación o desinstalación del producto ESET. Recomendamos usar una contraseña diferente a la correspondiente a las credenciales de RDP.

  • Deshabilite Macros en Microsoft Office mediante Políticas de grupo 

    Office 2013/2016 (el siguiente enlace es para la versión 2013 pero los ajustes son iguales en 2016): Planificar configuración de seguridad para macros de VBA de Office 2013
     
  • Asegúrese de que se encuentre activada la Protección contra Ransomware (productos para Windows versión 10)

La protección contra Ransomware, como parte de la tecnología de Autodefensa consituye otra capa de protección que funciona como parte de la funcionalidad HIPS. ESET LiveGrid debe encontrarse habilitado para que la Protecci´pon contra Ransomware funcione adecuadamente. Para obtener mayor información al respecto, lea Protección contra ransomware.

¿Pueden recuperarse los archivos encriptados?

Los Filecoders/Ransomware modernos encriptan la información utilizando métodos asimétricos y múltiples tipos de cifrados. En pocas palabras, los archivos son encriptados con una clave pública y no es posible desofuscarlos sin ella. Con el actual ransomware, la clave privada nunca es localizada en el equipo o entorno. Esto significa que la información necesariamente deberá ser restaurada desde una copia de respaldo previa a la infección.

Si no dispone de copias de respaldo, podrá intentar recuperar los archivos desde Shadow Copies. Puede utilizar Shadow Explorer, el cual se descarga desde la siguiente página: http://www.shadowexplorer.com/downloads.html

De todas maneras, no es poco usual que las infecciones mediante ransomware eliminen las Shadow Copies para impedir la recuperación de los archivos.

¿Qué pasos deben seguirse ante una infección con ransomware?

    1. Localice el archivo TXT o HTML con las instrucciones de pago, por ejemplo "How to decrypt" ("Cómo descifrar") carpetas compartidas/unidades encriptadas.

    2. Desconecte el equipo de la red.

    3. Ejecute ESET SysRescue en el equipo infectado. Solo utilice la copia de respaldo una vez que la amenaza haya sido identificada y eliminada (vea la sección anterior, Conserve copias de seguridad de su sistema).

    4. Contacte a ESET siguiendo las instrucciones de la siguiente sección.

Equipo de soporte de ESET