Este documento describe el ransomware, sus diferentes tipos (de cifrado y de bloqueo de pantalla), y ejemplos específicos como CryptoLocker y WinLock. También proporciona recomendaciones para prevenir infecciones de ransomware, incluyendo mantener software y antivirus actualizados, realizar copias de seguridad frecuentes almacenadas de forma segura, y estar atento a correos electrónicos sospechosos.
2. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: prevenir es mejor que curar
El ransomware es un software diseñado
con fines maliciosos
que bloquea el acceso a equipos informáticos o a los datos,
hasta que se recibe un pago que se solicita como rescate.
3. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: prevenir es mejor que curar
4. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: prevenir es mejor que curar
Hay ransomware de distintos tipos
De cifrado
De bloqueo de pantalla
5. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado
AIDS de 1989 - Troyano propagado mediante diskettes que se
enviaban por correo postal
Gpcode de 2005 - Encripta todos los archivos de la PC y
dejaba un archivo de texto indicando cómo pagar el rescate
6. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado
Gpcode de 2010 - Mejoró el método de cifrado usando RSA
con claves de 1024bits
7. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado
Archiveus de 2006 - No cifraba. Copiaba todos los archivos a
un único archivo EncryptedFiles.als y luego asociaba la
extensión als a un programa de los atacantes que requería
contraseña
8. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado
CryZip de 2007 - comprime con una contraseña todos los
archivos que tengan determinadas extensiones, generando
los archivos [nombre de archivo]_CRYPT_.ZIP, para después
borrar los originales que previamente habían sido sobrescritos
con la cadena de texto «Erased by Zippo! GO OUT!!! », para
evitar su posible recuperación.
9. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta
incidencia)
1. Se instala en la carpeta «Documents and Settings» usando
un nombre generado aleatoriamente y se agrega a la lista de
programas que se cargan automáticamente, modificando el
registro de Windows.
10. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta
incidencia)
2. Después de instalarse, genera una lista aleatoria de
direcciones de servidores con los dominios .biz, .co.uk, .com,
.info, .net, .org y .ru.
11. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta
incidencia)
3. En este punto, CryptoLocker intenta establecer una
conexión web con cada uno de los nombres de los servidores,
uno por segundo, hasta que encuentre uno que responda.
4. Una vez encontrado un servidor que responde, el programa
genera un archivo que se puede asimilar a un identificador de
CryptoLocker en el ordenador afectado y posteriormente lo
envía al servidor.
5. El servidor, usando el identificador que ha recibido, genera
un par de claves pública-privada para después enviar
únicamente la clave pública al ordenador comprometido.
12. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta
incidencia)
6. El malware usa esta clave pública para cifrar los archivos que
encuentra con un listado de extensiones predefinidas,
especificadas como imágenes y documentos.
13. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado: CryptoLocker de 2013 (Alta
incidencia)
7. Muestra una
ventana de pago
ofreciendo un tiempo
limitado, normalmente
100 horas, para
recuperar la clave
privada y de este
modo recuperar sus
datos, o el malware
precederá a
eliminarlos.
14. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado
para Linux:
Linux.Encoder.1
Primero para Linux
Descubierto en
noviembre de 2015
Ingresa por un agujero de seguridad en CMS Magento
Afectó a más de 2000 usuarios
BitDefender provee herramienta para liberarse
15. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Ransomware de cifrado:
1. de código abierto
- https://github.com/utkusen/eda2
(abandonado hace 2 meses)
2. TOX: creación automática en
pocos clicks, con modelo 70/30
de compartir ganancias
16. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de cifrado
Incorpórase como artículo 153 bis del Código
Penal, el siguiente:
Artículo 153 bis: Será reprimido con prisión de
quince (15) días a seis (6) meses, si no
resultare un delito más severamente penado,
el que a sabiendas accediere por cualquier
medio, sin la debida autorización o
excediendo la que posea, a un sistema o dato
informático de acceso restringido.
La pena será de un (1) mes a un (1) año de
prisión cuando el acceso fuese en perjuicio de
un sistema o dato informático de un
organismo público estatal o de un proveedor
de servicios públicos o de servicios
financieros.
Ley 26.388 art. 5
17. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo de pantalla
Bloquea el uso o acceso del ordenador, pero sin cifrar la
información. Típicamente fija una vista con el mensaje y la
petición de rescate, impidiendo cualquier acción para cerrarlo,
además del acceso al administrador de tareas, a los
navegadores web o a cualquier otra parte del sistema. Este tipo
de ransomware apareció bastante más tarde que la otra
categoría, detectándose las primeras muestras en el 2010.
18. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo de pantalla
WinLock (2010)
En sus primeras versiones
afectó a más de diez mil
usuarios, bloqueando el
acceso de los ordenadores
y solicitando el envío de
SMS Premium para su
rescate
19. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo de pantalla
WinLock (2010)
1. Una vez lanzado el troyano, modifica el «autorun» del registro de
Windows y configura así su inicio automático al arrancar el
ordenador.
2. Deshabilita el administrador de tareas y bloquea algunas
herramientas de trabajo.
3. Crea una ventana emergente sobre todo el escritorio, que bloquea
cualquier tipo de actividad, estando constantemente manteniéndose
como ventana superior. Versiones posteriores modificaron sus
mensajes de rescate por imágenes pornográficas
20. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo de pantalla
WinLock (variación 2011)
En 2014, la Encuesta Global
Sobre Software de BSA
informó que el 69% del
software instalado en la
Argentina durante el año
anterior no tenía licencia, en
comparación con el 43% a
nivel mundial.
21. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: de bloqueo de pantalla
Ransomware de bloqueo
de pantalla
Virus de la policía
500.000 PCs infectadas en 18 días
Geolocalizado para adecuar el
mensaje al idioma y autoridad
correspondiente a la región del
usuario, solicita el pago de una
multa por uso de software sin
licencia o por visualización de
contenido pornográfico ilegal, y
hasta que el usuario no pague la
«multa» el ordenador seguirá
secuestrado.
22. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: métodos de infección
Ransomware: métodos de infección
- Archivos adjuntos en e-mails
- Links en e-mails
- Sitios pornográficos o de juegos
- RDP (Remote Desktop Protocol): agujeros de seguridad o
ataques de fuerza bruta
- Ataques a dispositivos móviles
23. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Actualización de software
24. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Suite de seguridad
- Usar antivirus centralizado
- El software de antivirus debe estar actualizado
- La base de datos de definición de virus debe estar
actualizada
25. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Suite de seguridad
Eficacia en detección de ransomware
ESET-NOD32: 95.8%
Panda: 94.0%
Kaspersky: 90.0%
McAfee: 88.0 %
Avast: 86.0%
AVG: 86.0%
Avira: 84.2%
Microsoft: 82.0%
Symantec: 82.0%
Fuente: incibe.es
26. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Suite de seguridad
Ante un archivo o link sospechoso
cutheatergroup.cn ejemplo de link de e-mail
dionneg.com
27. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención
- Minimizar las unidades de red mapeadas
- El usuario de uso diario no debe ser administrador
- Limitar las carpetas desde las que se puede ejecutar
programas. Automatizado por CryptoScripted de RPK
http://www.thirdtier.net/ransomware-prevention-kit/
28. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – CryptoPevent
Es un complemento al antivirus que previene infección de
CryptoLocker y de otros ransomware
Versión gratuita en
https://www.foolishit.com/cryptoprevent-malware-prevention/
29. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – DNS
Los ransomware se comunica con servidores C&C.
Bloqueando acceso a esos servidores
- Zonas DSN bind
http://www.malwaredomains.com/
-
208.67.222.222
208.67.220.220
30. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – RDP
- Desactivar RDP donde no haga falta
- Donde RDP es necesario, que solo se pueda conectar
solamente desde VPN (Red privada virtual)
31. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
32. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
33. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
34. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
35. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu PC
Ransomware: Prevención – Correos electrónicos
36. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu Backup
Ransomware: Prevención – ¡Backups!
37. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu Backup
Ransomware: Prevención – ¡Backups!
- Utilizar un sistema de copia de seguridad que no esté
directamente conectado, como puede ser un servidor en la red
local o en la nube, o un dispositivo externo que se conecte en el
momento de realizar la copia
- Mantener versiones de backups
- diario
- semanal
- mensual
- Mantener copia remota de los backups
- otro edificio en caja de seguridad
- servicio de backup online
38. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu Backup
Ransomware: Prevención – ¡Backups!
- Crear un usuario para el sistema de backup que no se puede
loginear a la PC
- Eliminar todos los permisos heredados de la carpeta donde
reside tu backup. Solo dar permiso a esa carpeta al usuario que
usa el sistema de backup y System
- Encriptá tus backups
- No crees una unidad de red hacia el server de backup. Usa
FQDN (backup.suteryh.xx)
- Cambiá los discos que uses como storage de acuerdo a su vida
útil
39. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Prevención – Protegiendo tu Backup
Ransomware: Prevención – ¡Backups!
- Definir procedimiento de backup:
- con responsables identificados (realización y control)
- que incluya pruebas de restauración
- ¿Qué se debe incluir en el backup?
- Hacer inventario de activos de información
- Definir impacto en el negocio de pérdida de cada activo
- Definir el tiempo que se puede esperar para restaurar por cada activo
- Definir tiempo de retención necesario por cada activo
- En base a eso, definir:
- qué incluir en backup
- con qué frecuencia
- plazo de retención
40. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Recuperación
Ransomware: Recuperación
- Definir procedimiento de backup:
- con responsables identificados (realización y control)
- que incluya pruebas de restauración
- ¿Qué se debe incluir en el backup?
- Hacer inventario de activos de información
- Definir impacto en el negocio de pérdida de cada activo
- Definir el tiempo que se puede esperar para restaurar por cada activo
- Definir tiempo de retención necesario por cada activo
- En base a eso, definir:
- qué incluir en backup
- con qué frecuencia
- plazo de retención
41. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Recuperación
Ransomware: En caso de infección
- No pagar el rescate
- Alimentás el ciberdelito
- No tenés seguridad de que te liberen
- Desconectar la PC afectada
de la red
- Identificá el ransomware
- Si hay software de limpieza
Usalo
- Si no hay, restaurá backup
42. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Recuperación
Ransomware: En caso de infección
- Ransome Removal Kit
https://bitbucket.org/jadacyrus/ransomwareremovalkit/ove
rview
- CoinVault or Bitcryptor
https://noransom.kaspersky.com/
- Rakhni
http://support.kaspersky.com/viruses/disinfection/10556#b
lock1
43. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Recuperación
Ransomware: En caso de infección
- Xorist
http://support.kaspersky.com/viruses/disinfection/2911#bl
ock2
- Rector
http://support.kaspersky.com/viruses/disinfection/4264#bl
ock2
- Cryptodefense
http://www.computerworld.com/article/2489311/encryption
/cryptodefense-ransomware-leaves-decryption-key-accessi
ble.html
44. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Recuperación
Ransomware: En caso de infección
- Locker
http://www.bleepingcomputer.com/forums/t/577246/locker
-ransomware-support-topic/page-32#entry3721545
- Instrucciones para eliminar varios ransomware
https://malwaretips.com/blogs/category/ransomware/
Si, no hay desencriptadores y no tenés backup
45. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: Recuperación
Ransomware: En caso de infección
http://www.bumeran.com.ar/
46. Ing. Carlos Rubén Jacobs - carlos.jacobs@grada.com.ar
Ransomware: medidas mínimas
Ransomware: Medidas mínimas
- Implementar uso de OpenDNS (prevención)
- Implementar anti-virus centralizado (prevención)
- Implementar backups (recuperación)