NUEVA OLEADA DE ATAQUES A WINDOWS 2003 SERVER CODIFICANDO FICHEROS Y AÑADIENDOLES EXTENSION .OMG!
Tras la anterior version del RANSOM ANTICHILD que empaquetaba los ficheros en RAR .EXE autoextraible, con password complejo, pidiendo rescate para el envio del mismo, hoy nos llega el aviso de un cliente de que este fin de semana le han codificado los ficheros y renombrado a .OMG!, lo cual parece ser otra version derivada de dicho RANSOMWARE
Todas las variantes conocidas hasta la fecha de esta familia de malwares, afectan a servidores Windows 2003 server, a traves del port 3389 del Terminal Server
La intrusion puede llegar por fuerza bruta en ordenadores con contraseñas débiles o por falta de parches MS13-029 o MS13-030
Sea como sea, dificilmente se pueden decodificar los ficheros cifrados sin pagar el rescate, y lo que procede es recuperar los ficheros desde la copia de seguridad, si el usuario ha seguido la normativa informática básica, para lo que es recomendable disponer de las utilidades al respecto, como la tos y evita catastrofes ante la pérdida de datos de estos casos o similares.
Otra imagen que presentan estos ransomware es la siguiente:
A traves de las nuevas versiones diarias del ELISTARA vamos controlando y eliminando los malwares que vamos conociendo al respecto, si bien en este informe de ESET resumen lo aconsejable para evitar su entrada:
¿Cómo protegerse de Anti-child Porn Spam Protection 2.0?
veamos cuáles son las mejores prácticas que podrían ayudar a las empresas no verse afectados por la amenaza ”Anti-child Porn Spam Protection 2.0” u otras que posean comportamientos similares:
Utilizar contraseñas fuertes (alfanuméricas de mínimo 12 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.
Deshabilitar cualquier usuario por defecto dentro del sistema que no este en uso.
Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario, utilizar un puerto no estándar o, mejor aún, que solo sea accesible mediante conexiones de red seguras como son las VPN.
Tener actualizado los equipos con todos los parches de seguridad correspondiente (recomendamos particularmente corregir ahora las vulnerabilidades conocidas hasta la fecha.
Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. Este punto es clave, ya que de existir esta protección, en este caso la infección no se podría llevar a cabo.
Contar con una política de backups que aloje los mismos dentro de sistemas protegidos y preferentemente aislados.
Realizar auditorias de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.
Es importante destacar que a la fecha no existe una manera viable de poder recuperar los archivos cifrados, por lo que es de suma importancia que se apliquen las recomendaciones antes mencionadas. Autor: Joaquín Rodríguez Varela de ESET – mas info : ayuda@eset.es
Las diferentes variantes de este RANSOM PORNCHILD cifran los ficheros y añaden las siguientes extensiones, segun variante:
– .Crypt – 1ª variante de esta familia, cifra los ficheros con AES256
– .EXE – 2ª variante que empaqueta los ficheros en un RAR autoextraible con password complejo.
– .OMG , la última conocida hasta la fecha, ofrece pantalla de pago por rescate.
Esperamos que con lo indicado puedan evitar en lo posible la entrada de estos malditos ransomwares o por lo menos disponer de la copia de seguridad para evitar daños mayores.
A medida que vayamos teniendo novedades al respecto, lo comunicaremos
saludos
ms, 16-7-2013
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.