NOS LLEGAN FICHEROS DESDE MEXICO DF CIFRADOS CON RANSOMWARE “ANTI-CHILD PORN SPAM PROTECTION 2.0”

http://informadorgrafico.wordpress.com/2013/10/21/policia-federal-alerta-a-empresas-sobre-ataques-ciberneticos/

y la pantalla de “recaudación” del mismo indica:

y respecto al método de infección de este malware, conviene saber:

Para que se comprenda correctamente la metodología de infección, veamos las etapas de infección:

•Identificación: El ataque comienza cuando los atacantes localizan un servidor (por lo general Windows 2003 Server) que posea publicado en Internet el servicio de Escritorio Remoto (Remote desktop, puerto 3389).

•Acceso: Luego proceden a explotar algún tipo de vulnerabilidad, ya sea ataques de fuerza bruta en búsqueda de credenciales por defecto o usuarios con contraseñas débiles o directamente algún bug que permita la ejecución de código remoto en este servicio (como por ejemplo las vulnerabilidades MS13-029 o MS13-020).

•Elevación de privilegios: En caso de conseguir credenciales con permisos de administrador este ítem es obviado. Caso contrario proceden a ejecutar algún otro exploit que permitan la ejecución de código arbitrario con permisos de administrador.

•Desproteger el equipo: Una vez que logran tener privilegios dentro del sistema, proceden a desactivar cualquier herramienta de seguridad, ya sean soluciones Antivirus o herramientas de monitoreo. En el relevamiento de equipos afectados pudimos encontrar diversas soluciones de seguridad deshabilitadas.

•Cifrado: Luego proceden a descargar y ejecutar la amenaza en cuestión la cual, de manera automática, cifra (comprime con contraseña generada aleatoriamente) todos los archivos cuya extensión se alguna de las siguientes “.txt, .xls, .xlw, .docx, .doc, .cer, .key, .rtf, .xlsm, .xlsx, .xlc, .docm, .xlk, .htm, .chm, .text, .ppt, .djvu, .pdf, .lzo, .djv, .cdx, .cdt, .cdr, .bpg, .xfm, .dfm, .pas, .dpk, .dpr, .frm, .vbp, .php, .js, .wri, .css, .asm, .html, .jpg, .dbx, .dbt, .dbf, .odc, .mde, .mdb, .sql, .abw, .pab, .vsd, .xsf, .xsn, .pps, .lzh, .pgp, .arj, .gzip, .gz, .pst, .xl”. En algunos casos se registra incluso que se eliminaron de forma segura algún backup que se encontrara dentro del equipo. La contraseña utilizada para cifrar los archivos es creada en el momento de manera pseudo aleatoria, la cual es luego guardada dentro de un archivo de texto y enviada a los estafadores. De esta forma, no es posible replicar el escenario para obtener los datos para recuperar los archivos.

•Eliminación y bloqueo: Posteriormente se elimina de manera segura, utilizando la herramienta Sdelete de SysInternals, para evitar cualquier intento de recuperación de la misma y por último bloquean el equipo dejando solo visible la pantalla que se observa en la imagen superior donde se pide “rescate” (un pago de dinero) a cambio de la contraseña que decodifica los archivos.
y sobre como protegerse del Anti-child Porn Spam Protection 2.0?

“Para terminar, veamos cuáles son las mejores prácticas que podrían ayudar a las empresas no verse afectados por la amenaza ”Anti-child Porn Spam Protection 2.0” u otras que posean comportamientos similares:
Utilizar contraseñas fuertes (alfanuméricas de mínimo 12 caracteres de longitud y que contengan mayúsculas y algún carácter especial) para todos los usuarios.

Deshabilitar cualquier usuario por defecto dentro del sistema que no este en uso.

Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario, utilizar un puerto no estándar o, mejor aún, que solo sea accesible mediante conexiones de red seguras como son las VPN.

Tener actualizado los equipos con todos los parches de seguridad correspondiente (recomendamos particularmente corregir ahora las dos vulnerabilidades antes mencionadas) y a la fecha.

Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. Este punto es clave, ya que de existir esta protección, en este caso la infección no se podría llevar a cabo.

Contar con una política de backups que aloje los mismos dentro de sistemas protegidos y preferentemente aislados.

Realizar auditorias de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.
Es importante destacar que a la fecha no existe una manera viable de poder recuperar los archivos cifrados, por lo que es de suma importancia que se apliquen las recomendaciones antes mencionadas.”

todologia-y-lecciones-aprendidas/” target=”_blank”> Fuente

Si bien está claro que los passwords que utiliza dicho RANSOMWARE son distintos en cada ordenador, vistos los que aportan usuarios que han recibido y comprobado la eficiencia de los mismos, los indicamos a continuacion para que se tenga en cuenta la complejidad utilizada en ellos :
aesT322Sy(mZt0%ci912SQKYzFPZYeDen6eTD6CU&x0(P1827KlJukMHz

aesT322wwVr*qw*AwwVVurrA$wwVVurrA$

(mayúsculas, minúsculas, números, signos gráficos y demás, muy dificil incluso con un ataque bruto para romperlos)
A pesar de ello, los usuarios afectados pueden probar la utilidad de Kaspersky para descifrar ficheros cifrados por RANSOM’s, llamada XORISTDECRYPTOR, existente en la web de descargas de sus utilidades:

http://support.kaspersky.com/viruses/utility

Confiamos  que lo indicado sirva para evitar ser infectados y afectados … !

saludos

ms, 22-1-2014