[KB3433] Mejores prácticas para protegerse ante el código malicioso Filecoder (ransomware)

Problema

  • Este articulo incluye mejores prácticas para ayudar a configurar su sistema y protegerlo frente a ransomware

Detalles

El ransomwarees un código malicioso que puede bloquear un dispositivo o encriptar sus contenidos con el objetivo de extorsionar al propietario para que éste obtenga acceso atales recursos.Esta clase de malware también puede poseer un reloj propio con una fecha límite de pago que debe ser cumplida, pues de lo contrario el precio para que se desbloquee la información y el hardware se incrementará – o la información y el dispositivopermanecerán enúltima instancia inaccesibles de manera definitiva.

Filecoders/Ransomwareson infecciones que encriptan información y archivos personales. Usualmente un equipo es infectado y luego elFilecoder/Ransomware intentará encriptar cualquier unidad de red compartida que se encuentre mapeada.Este accionar puede hacer creer que la infección se encuentra diseminándose por la red cuando en verdad no es así.

Si bien sus archivos pueden encontrarse infectados, su sistema podría no estarlo.Esto ocurre, por ejemplo, cuando una unidad compartida en el servidor de archivos se halla encriptada pero el servidor en sí no contiene una infección por malware (a menos que se trate de unTerminal server).

Otras amenazas defilecoder son conocidas como:

  • "CryptoLocker", "Cryptowall", "Dirty decrypt",y "CTB locker"

  • Win32/TrojanDownload.Elenoocka.A

  • Win32/Gpcode

Solución

Haga clic en cada imagenpara abrir una nueva ventana para conocer configuraciones de políticas y mejores prácticasanti-ransomware adicionales:

Las actuales vesiones de los productos ESET utilizan múltiples capas de tecnologías para proteger a los equipos frente al ransomware.

Ejemplos de tales tecnologías incluyen la Exploración de memoria avanzada, sistema de reputación ESET LiveGrid® y Bloqueador de exploits.

Adicionalmente, los últimos productos ESET proveen un módulo de Protección contra Botnets mejorado que bloquea la comunicación entre el ransomware y los servidores Command and Control (C&C).

Prácticas generalesanti-ransomware | Prácticasanti-ransomware en el producto ESET |Recuperación de archivos encriptados |Equipo de soporte de ESET

Prácticas generales anti-ransomware en el producto ESET

  • Conserve activada la Exploración avanzada de memoria y el Bloqueador de exploits

Ambas funcionalidades se encuentran activadas de modo predeterminado en la versión 5 o posterior de los productos corporativos ESET. Estos nuevos algoritmos de ESET refuerzan la protección contra códigos maliciosos que han sido diseñados para evadir la detección de productos antimalware a través del uso de ofuscación y/o encriptación.

La Exploración avanzada de memoria identifica comportamientos sospechosos luego de que el código malicioso se visibiliza en la memoria y el Bloqueador de exploits fortalece la protección contra los ataques dirigidos y vulnerabilidades previamente no visibilizadas, también conocidas como 0-day.

Recomendamos que actualice hacia la última versión si poseeESET Smart Security o ESET NOD32 Antivirus (incluyendo versiones corporativas) versión 4.x o anterior:

  • Mantenga activada la funcionalidad ESET Live Grid

Ayuda a detectar amenazas emergentes en base a la reputación y mejora el rendimiento de las exploraciones por medio de las listas blancas. La información de la amenaza nueva se transmite en tiempo real a la nube, lo que le permite al Laboratorio de búsqueda de malware de ESET proporcionar una respuesta oportuna y una protección consistente en todo momento.

  • Conserve activada la Heurística avanzada para la ejecución de archivos

    Activa de modo predeterminado a partir de la versión 6.x de los productos corporativos de ESET, esta funcionalidad emula el código en un entorno virtual y evalúa su comportamiento antes de que se permita la ejecución del código, adicionando una capa de seguridad.
  • Verifique que "Unidades de red" se encuentre seleccionado para la Protección del sistema de archivos en tiempo real

Con la protección de Unidades de red activada, la Exploración en tiempo real del sistema de archivos se encontrará posibilitado de iniciar la detección en un equipo infectado, impidiendo que el proceso del ransomware encripte la unidad. Lea Protección del sistema de archivos en tiempo real para mayor información.

  • Mantenga actualizado su producto ESET

Nuevas versiones de estos códigos maliciosos son lanzadas frecuentemente, de manera que es importante que usted reciba las actualizaciones de la base de datos de firmas de virus(su producto ESET buscará nuevas actualizaciones cada una hora si usted posee una licencia vigente y una conexión a Internet estable).

Asegúrese de que ESET LiveGrid se encuentre habilitado y funcional en su producto ESET.

  • Usuarios de máquinas virtuales

    Para optimizar la protección ante el malwareFilecoder, recomendamos el uso deESET Endpoint Security en entornos virtuales. Puede utilizarESET Endpoint Securitycon ESET Shared Local Cachepara minimizar la carga en su red para evitar que múltiples máquinas virtuales descarguen actualizaciones.

Minimice el riesgo de ser afectado por malware basado en encriptación (ransomware)

  • Conserve copias de seguridad de su sistema

    Planee larealización de copias de seguridad de su sistema en intervalos regulares para proteger su trabajo más reciente ante un ataque.ESET recomienda el uso de la siguiente solución deresguardo de archivos:
  • Permisos de usuarios y restricción de derechos

    Existen varias clases de restricciones, tales comolas de acceso a información de la aplicación e incluso algunas que se encuentran incluidas como Objetos de Directiva de grupo(GPO).
  1. Deshabilitar archivos que se ejecutan desde las carpetasApp Datay Local App Data.
  2. Bloquear la ejecución desde el subdirectorio Temp (parte del menú de AppData, de manera predeterminada).
  3. Bloquear archivos ejecutables que se ejecutan desde directorios de trabajo de varias utilidades de descompresión (por ejemplo, Winzip o 7Zip).

    Adicionalmente,en ESET Endpoint Security/Antivirus, ESET Mail Security y ESET File Security, usted puede optar por crear reglas de HIPS para permitir que solamente ciertas aplicaciones se ejecuten en el equipo y bloquear las restantes de manera predeterminada: Crear una regla de HIPS y forzarla en un equipo (6.x)
  • No deshabilite el Control de cuentas de usuario(UAC)

No abra archivos adjuntos que afirman ser faxes,comprobanteso recibos si el remitente posee un nombre sospechoso o usted no esperaba recibirlo.

¿Qué puedo hacer para minimizar el riesgo de un ataque de malware?

  • Deshabilite o cambieelProtocolo de Escritorio Remoto (RDP)

El malware basado en la ofuscación usualmente accede a los equipos utilizando la herramienta Remote Desktop Protocol (RDP) integrada en Windows. RDP permite a otros conectarse al sistema de manera remota, de modo que el atacante puede hacer mal uso de RDP para eliminar la protección y luego implementar el código malicioso.

a) Deshabilite o cambie Remote Desktop Protocol

Si no requiere el uso de RDP,puede cambiar el puerto predeterminado(3398)o deshabilitarRDP pare proteger su equipo frente aFilecodery otros exploits deRDP. Para obtener detalles e instrucciones para deshabilitarRDP, visite uno de los siguientes enlaces de la Base de conocimiento deMicrosoft:

Obtenga más infomación acerca de RDP, lea el siguiente artículo de We Live Security article: Ataques que se aprovechan de RDP: ¡desde aquí puedo ver tu escritorio!

b ) Proteja mediante una contraseña los ajustes de su producto ESET

Si necesita conservar RDP y no puede deshabilitar o cambiar sus ajustes, puede utilizar una contraseña para proteger el producto ESET ante alteraciones llevadas a cabo por un atacante. Esto impide modificaciones no autorizadas, la desactivación o desinstalación del producto ESET. Recomendamos usar una contraseña diferente a la correspondiente a las credenciales de RDP.

La protección contra Ransomware, como parte de la tecnología de Autodefensa consituye otra capa de protección que funciona como parte de la funcionalidad HIPS. ESET LiveGrid debe encontrarse habilitado para que la Protecci´pon contra Ransomware funcione adecuadamente. Para obtener mayor información al respecto, lea Protección contra ransomware.

¿Pueden recuperarse los archivos encriptados?

Los Filecoders/Ransomware modernos encriptan la información utilizando métodos asimétricos y múltiples tipos de cifrados.En pocas palabras, los archivos son encriptados con una clave pública y no es posible desofuscarlos sin ella. Con el actualransomware, la clave privada nunca es localizada en el equipo o entorno. Esto significa que la información necesariamente deberá ser restaurada desde una copia de respaldo previa a la infección.

Si no dispone de copias de respaldo, podrá intentar recuperar los archivos desdeShadow Copies. Puede utilizar Shadow Explorer, el cual se descarga desde la siguiente página: http://www.shadowexplorer.com/downloads.html

De todas maneras, no es poco usual que las infecciones medianteransomware eliminen las Shadow Copies para impedir la recuperación de los archivos.

¿Qué pasosdebenseguirse ante una infección con ransomware?

  1. Localice el archivo TXT o HTML con las instrucciones de pago,por ejemplo"How to decrypt" ("Cómo descifrar") carpetas compartidas/unidades encriptadas.

  2. Desconecte el equipo de la red.

  3. EjecuteESET SysRescue en el equipo infectado. Solo utilice la copia de respaldo una vez que la amenaza haya sido identificada y eliminada(vea la sección anterior,Conserve copias de seguridad de su sistema).

  4. Contacte a ESET siguiendo las instrucciones de la siguiente sección.

Equipo de soporte de ESET

Asistencia adicional