RECOMENDACIONES PARA CONTROL DE LOS RANSOMWARES COMO EL CRYPTOLOCKER (RECORDATORIO IMPORTANTE) – con añadido al final
Aunque ya hemos publicado repetidamente una serie de consejos para controlar la entrada de los fastidiosos ransomwares, que tan prolíficamente van asediando a nuestros usuarios, y como que estamos teniendo afectados por algunos casos muy repetitivos (como el del Falso mail de CORREOS), pasamos a recordar las Normas básicas para evitar los percances que ocasionan dichos malwares:
De entrada recordar la primera NORMA de informatica: Disponer de COPIA DE SEGURIDAD actualizada, fuera del alcance de dichos virus, (en discos duros externos por ejemplo), pues es frecuente que hay quienes la guardan en un acceso compartido, el cual también resulta cifrado.
La segunda Norma a tener en cuenta es NO EJECUTAR FICHEROS, ENLACES O IMAGENES recibidos en mails no solicitados, aunque sean de remitentes conocidos o famosos, como BANCOS, AGENCIAS DE TRANSPORTE, ENTIDADES DE COMUNICACIONES, ETC (CORREOS, FEDEX, SEUR, MOVISTAR, etc)
La tercera es usar sistemas operativos actualizados, (NO OBSOLETOS COMO EL CONOCIDO XP) y aplicaciones con los últimos parches instalados (FLASH, ACROBAT, INTERNET EXPLORER, etc)
La cuarta tener instalado, actualizado y activo, el antivirus contratado, revisando tener la VERSION, el MOTOR y SERVICE PACK al dia, (lo cual no se actualiza automáticamente como los DAT, y es necesario usar los últimos disponibles para el buen control de los malwares que van apareciendo continuamente)
Y quinto y último, tambien muy importante, es tener configurada la detección heuristica a nivel MUY ALTO, lo cual actualmente la instalación del VirusScan lo configura a NIVEL MEDIO , (y antiguamente a NIVEL BAJO), y si bien a NIVEL MEDIO ya se detectan heurísticamente nuevas variantes de malwares, en el caso de los ransomwares como CRYPTOLOCKER por ejemplo, es aconsejable que se tenga a NIVEL MUY ALTO.
Recordar que el sistema heurístico avanzado del VirusScan de McAfee funciona a partir de la version 8.8 parche 6 del VirusScan ENTERPRISE
Lo arriba indicado lo hemos ido comentando repetitivamente, pero hemos querido constatarlo en este resumen para que se tenga en cuenta SIEMPRE, aunque ya no se diga, pensando que ya se sabe, pero que no siempre es el caso…
Cabe insistir sobre el Falso Mail de Correos avisando sobre una carta certificada… que infecta con el CRYPTOLOCKER, como ya hemos ido avisando recientemente en nuestro blog de Noticias, y que si bien hasta la prensa se ha hecho eco de dicha información sobre el indicado malware, aun hay usuarios que, por desconocimiento o por descuido, procesan el indicado mail infectando el ordenador con el que trabajan y cifrando los datos de los ficheros de todas las unidades compartidas, incluyendo el servidor.
Y en general, se recuerda que para evitar la intrusion de downloaders que descarguen cualquier tipo de estos, sean ransomwares, adwares, o malwares en general, NO SE DEBEN ABRIR LAS MACROS DE DOCUMENTOS DE WORD O EXCEL en los que se pregunta si se quiere ABRIR CON MACROS, responder que NOOOOO !!!
Al respecto recomendamos documentarse sobre las ultimas variantes del TESLACRYPT y LOCKY, de lo que informamos en:
todos-unos-anexando-fichero-exe-y-el-otro-generalmente-a-traves-de-un-doc-con-macros-que-descarga/
Y sobre anteriores Cryptolockers:
tolocker-que-acaba-de-ser-controlado-por-mcafee-ayer-no-lo-estaba/
Y como este y sus variantes, hay otros ransomwares de los que van apareciendo nuevas variantes a diario, y que si bien la detección heuristica avanzada del VirusScan de McAfee logra interceptar, alguno que otro, con su motor Artemis, es el usuario el que, evitando ejecutar mails no solicitados, puede conseguir escapar de la acción de estos hackers que tanto perjuicio causan.
Cabe tambien hacer mención a la infección de otros ransomwares (como el aparente CRYPTOWALL 3.0, que realmente aprovecha caracteristicas de un TESLACRYPT) generalmente debida a agujeros de seguridad de las aplicaciones de Windows, o al uso del IE 8 / Windows XP, que Microsoft ya no parchea por considerarlo obsoleto, y a través de sus agujeros, por visitar webs infectadas, sin la ejecución manual de ningún fichero, se infecta el ordenador, con las consecuencias ya conocidas…
Sobre Cryptowall / TESLACRYPT / IE8-Windows XP:
Esperando que lo indicado sirva para evitar alguna que otra infección, y ofreciendo aclarar las dudas que pudieran surgirles al respecto, reciban saludos
SATINFO
NOTA COMPLEMENTARIA:
Como sea que no paran de aparecer nuevas variantes de ransomwares, algunas de ellas aun no controladas, estamos ofreciendo a los usuarios que, además de las protecciones indicadas, instalen la utilidad SITEADVISOR de McAfee, que puede descargarse e instalarse desde :
Con ello los intentos de acceder a webs conocidas como maliciosas, serán interceptados, evitando acceder, descargar y ejecutar los ficheros que se descargaran desde ellas, con lo que podrá evitarse alguna que otra infección de malwares, aunque todavía no fueran conocidos, aprovechando un medio mas de protección contra tanta proliferación de nuevos bichos que cada día aparecen en internet, cuantificados en varios cientos de miles diarios…
Complemento añadido en 19-11-2015
ACTUALIZACION DE MICROSOFT 10-2-2016
Microsoft ofrece nuevos parches para solucionar problema de los navegadores Internet Explorer 9, 10 y 11, afectados por vulnerabilidades que permiten ejecucion de codigo al navegar en webs preparadas para ello. Si bien se sabia que existía dicho problema con el IE 8, no solucionado al ser el navegador del WIndows XP ya obsoleto, se desconocia que hubiera el mismo problema con los navegadres de los sistemas operativos Windows 7, 8 y 10, hasta hoy que al publicar los parches para solucionarlo, entendemos que muchos usuarios se hayan infectado con ransomwares, simplemente por visitar paginas infectadas, sin necesidad de ejecutar ficheros anexados a mails …
Ver to-riesgo-por-usar-internet-explorer-versiones-ie7-ie8-ie9-e-ie10-y-los-ie11-y-edge-sin-parchear/
Añadido en 12-5-2016:
OTROS RANSOMWARES DE RECIENTE APARICION
Aparte del Cryptolocker, luego el Cryptowall, luego Cryptodefense y actualmente los Locky, y TeslaCrypt, de los que tantas versiones han existido, y aparte de los de menos incidencia como los CRYPTFILE2, BRLOCK, y MMLOCKER, todos ellos documentados en nuestras NOTICIAS, resaltamos unos cuantos mas para facilitar su identificación a los usuarios, bien por el nombre del añadido o por sus caracteristicas, indicando igualmente enlace a nuestra Noticia para mayor información.
Esta relación tambien es añadida como complemento a nuestra Bliblia de los ransomwares, a la que accedemos buscando RECORDATORIO, que aconsejamos leer para su conocimiento y divulgación:
Esperamos que lo indicado les sea de utilidad.
_______________
RANSOMWARE Black Shades, el ransomware “low cost” que pide pagar solo 30 dólares, y añade extensión .silent
Podemos protegernos de este ransomware modificando el fichero hosts de Windows (c:\windows\system32\drivers\etc\hosts) y añadiendo la entrada:
127.0.0.1 http://ww w.icanhazip.com (Juntando las tres w, separadas aqui para no crear enlace)
y también indican que cuando se ejecuta este ransomware, elimina las copias del ShadowCopy:
“Once executed, Black Shades will delete the Shadow Volume Copies on the computer using this command:
cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet”
__________________
NUEVA VARIANTE DE CRYPTOLOCKER QUE LLEGA AL ESTILO COMO EL DEL FALSO MAIL DE CORREOS, PERO ESTA VEZ CON UN PHISHING DE ENDESA
Es mas de lo mismo que el de conocido como Virus de Correos, pero en este caso con falso mail de ENDESA.
Añade .encrypted a los ficheros cifrados, y van cambiando continuamente los ficheros malware de los servidores de descarga.
Ver lo que se indica en la noticia del Blog al respecto:
https://blog.satinfo.es/2016/muy-importante-aluvion-de-mails-con-phishing-de-endesa-que-instalan-cryptolocker/
______________
RANSOWMARE ALPHA
añade .encrypt
– Coloca un Fondo de escritorio. (con fondo negro y letras centrales ENCRYPTED)
– Deshabilita el Administrador de Tareas
EL RANSOMWARE ALPHA, TAMBIEN LLAMADO ALPHA LOCKER, SE VENDE COMO KIT TIPO MaaS
Aparte, en el escritorio deja el fichero Read Me (How Decrypt) !!!!.txt
Y en la carpeta del usuario : %Usuario%\newstyle.jpg
y en todas las carpetas donde ha codificado ficheros, tambien copia el antes indicado “Read Me (How Decrypt) !!!!.txt”
Ver Noticias en el blog:
y https://blog.satinfo.es/2016/el-ransomware-alpha-tambien-llamado-alpha-locker-se-vende-como-kit-tipo-maas/
_______________
RANSOMWARE BUCBI
Bucbi infecta a los usuarios mediante ataques de fuerza bruta contra RDP
Por el momento no se conoce demasiada información sobre estos piratas informáticos, salvo que, aunque ellos aseguran ser ucranianos, en realidad todas las pistas apuntan a un origen ruso.
ver noticia en el blog: https://blog.satinfo.es/2016/bucbi-el-ransomware-que-infecta-a-los-usuarios-a-traves-de-rdp/
_______________
RANSOMWARE CERBER
añade .cerber
EL RANSOMWARE CERBER PUEDE ENTRAR POR VULNERABILIDAD DE ADOBE FLASH PLAYER NO ACTUALIZADO : Añade .CERBER a los ficheros cifrados
ver noticia en el blog:
EL RANSOMWARE CERBER PUEDE ENTRAR POR VULNERABILIDAD DE ADOBE FLASH PLAYER NO ACTUALIZADO
_______________
RANSOMWARE CRYPTMIX
Este ransomware está formado por una mezcla entre CryptXXX y CryptoWall.
ver noticia en el blog: https://blog.satinfo.es/2016/cryptmix-el-ransomware-que-dona-parte-del-dinero-del-rescate-a-la-caridad-al-menos-eso-dicen/
_______________
RANSOMWARE CRIPTOBIT: OTRO DE LA iNDIA, Desaparece una vez ha codificado los ficheros de datos. Ente los afectados están un hospital que usaba XP con IE8…
Crea dos ficheros, uno KEY con 13 filas de datos, y el otro con instrucciones para pagar y demas: momsbestfriend@protonmail.com or torrenttracker@india.com
En el fichero de datos aparece el nombre del ordenador causante de la infeccion:
YourID: 47498208
PC: AUDITORIA1-PC (nombre del PC y del usuario)
USER: auditoria1
ver noticia en el blog : https://blog.satinfo.es/2016/nueva-familia-de-ransomwares-el-criptobit/
________________
RANSOMWARE CRYPTOHOST o MANAMCRYPT
CODIFICA CON ZIP CON PASSWORD y BORRA ORIGINALES
cifra los archivos afectados (en un archivo comprimido protegido con contraseñas), además, tiene la capacidad de borrar los originales e impedir la ejecución de ciertos programas instalados en los sistemas.
ver noticia en el blog: https://blog.satinfo.es/2016/manamcrypt-o-cryptohost-un-nuevo-ransomware-que-se-propaga-por-torrents/
_______________
RANSOMWARE CRYPTXXX (ULTIMAMENTE HA CAMBIADO SU NOIMBRE POR UltraCrypter – EXISTE DESCIFRADOR DE KASPERSKY PARA PRIMERAS VERSIONES PERO LA ULTIMA CONOCIDA CODIFICA CON RSA4096 …)
CRYPTXXX, EL RANSOMWARE QUE NO SÓLO BLOQUEA TUS ARCHIVOS, TAMBIÉN ROBA CONTRASEÑAS Y BITCOIN – Utiliza uel kit de exploit de Angler . Añade .CRYPT a la extensión de los ficheros cifrados
crea de_crypt_readme.txt and de_crypt_readme.html
ver noticia en el blog:
CRYPTXXX, EL RANSOMWARE QUE NO SÓLO BLOQUEA TUS ARCHIVOS, TAMBIÉN ROBA CONTRASEÑAS Y BITCOIN
y esta mas nueva con enlace a utilidad descifradora de Kaspersky:
https://blog.satinfo.es/2016/kaspersky-explica-detalladamente-el-funcionamiento-de-su-herramienta-para-descifrar-los-ficheros-afectados-por-el-cryptxxx/
________________
RANSOMWARE ENIGMA
añade .enigma
nuevo ransomware de origen ruso llamado Enigma
una de las características especiales de este troyano es la forma de instalarse, ya que su instalador está inyectado dentro de código HTML/JS
Por suerte, este ransomware no elimina las Shadow Volume Copies de NTFS, por lo que la víctima puede recuperar fácilmente los datos sin pagar.
nuevo ransomware de origen ruso llamado Enigma
%UserProfile%\Desktop\allfilefinds.dat – Lista de archivos cifrados.
%UserProfile%\Desktop\enigma_encr.txt – Nota de rescate en formato de texto.
Ver Noticia en el blog: https://blog.satinfo.es/2016/enigma-un-nuevo-ransomware-que-se-instala-mediante-javascript/
_________________
“HELP”
el que añade help@restorefiles.info
parece que no deja restos en registro y el bicho desaparece, una vez cifrados los ficheros … site de Amsterdam, pero
restorefiles.info was registered on 2016-04-06 -IP Address: 131.72.137.204
Server Location: Amsterdam – Netherlands
mas info: registrador ruso !!! Name Akilina Tretyakova
Email tretyakova-akilina@mail.ru , Address Pobeda street 68 map
City Moscow – Country RU Russian Federation
NO TENEMOS MUESTRAS PARA PODER CONTROLARLO …
____________
JIGSAW – pasa a llamarse CRYPTOHITMAB
Añade .fun — ahora añade .porno
JIGSAW : Añade .fun a los ficheros cifrados y va borrando cada hora que pasa sin pagar
se puede restaurar segun se indica en https://blog.satinfo.es/2016/jigsaw-nuevo-ransomware-que-borra-los-ficheros-si-no-se-paga-el-rescate/
______________
LOCKY
Añade .LOCKY
LOCKY : Añade .Locky al final de los ficheros cifrados, despues del ID y la direccion de mail del hacker
deja una nota (_Locky_recover_instructions.txt) en cada carpeta que contenga archivos encriptados.
puede venir en docs com macros y downloads del NEMUCOD
Una vez terminado el cifrado, desaparece del ordenador. El ELISTARA elimina el fondo de escritorio
ver https://blog.satinfo.es/2016/los-archivos-afectados-por-autolocky-y-locky-ya-se-pueden-descifrar/
______________
RANSOMWARE 7ev3n-HONE$T
añade .R5A
NUEVA VARIANTE DE RANSOMWARE 7ev3n-HONE$T : lo controlaremos como 7EV3N
AÑADE .R5A a los ficheros que cifra, cambiando ademas sus nombre por orden numerico, (1.R5a, 2.R5A, 3.R5A) a los que tras descifrarlos (si se paga), les devuelve su nombre original.
Ver noticia en el blog: https://blog.satinfo.es/2016/69048/
_______________
RANSOMWARE SURPRISE
añade .surprise
SURPRISE : entra por vulnerabilidad del TeamViewer. Debe protegerse con contarseña fuerte
añade .surprise a los ficheros cifrados
______________
RANSOWMARE TESLACRYPT
añadía extensiones .CCC, EXX, EZZ, VVV, .micro, .MP3, etc, ahora no añade extensiones ni modifica nombre de ficheros, y actualmente hay la versión 4.2 muy sofisticada.
Elimina las copias del ShadowCopy y ha sido nº 1 de incidencias durante los primeros meses de 2016, si bien ahora lo supera el LOCKY
Persiste su acción tras reiniciar, si no se elimina
Nuestro ELISTARA.EXE los detecta y elimina, o aparca y pide muestras si no son conocidos.
ULTIMA HORA: ANUNCIAN EL FIN DEL TESLACRYPT Y LA UTILIDAD DE DESCIFRADO PARA TODAS LAS VERSIONES. Ver:
https://blog.satinfo.es/2016/muy-importante-eset-lanza-una-herramienta-de-descifrado-para-todos-los-teslacrypt/
_______________
Se recomienda probar el ELISTARA en todos los casos, y enviar muestra para analizar si se pide, y si no de detecta nada, lanzar el SPROCES y enviar el informe que genera, para analizarlo y localizar los ficheros implicados, especialmente en el caso del CRYPTOLOCKER, que va cambiando y si no se elimina, prosigue su acción a partir del reinicio.
_____________________
IMPORTANTE UTILIDAD PRIVACY FENCE PARA EVITAR CODIFICACION DE FICHEROS Y ENVIO DE DATOS
Ver https://blog.satinfo.es/2016/privacy-fence-un-anti-ransomware-que-evita-la-modificacion-de-tus-datos/
Esperando que les sea de utilidad, reciban saludos
ms, 12-5-2016
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.