Es la guía creada por QuantiKa14 para prevenir el reansomware en asd en 2016. El objetivo es que todas las empresas tengan un documento que les ayude a saber que aplicaciones y medidas usar.asd
3. 1. Introducción
1.1 ¿Qué es QK14?
1.2 Licencia
1.3 Objetivo de la guía
1.4 Qué es un ransomware
1.5 Forma de infección o intrusión del ransomware
2. ¿Qué medidas debe implementar una empresa?
2.1 Medidas informáticas
2.1.1 Copias de seguridad
2.2.2 Antivirus y Honeypots
2.1.2.2 Bitdefender Anti-Ransomware 21
2.1.2.3 Cryptoprevent 24
2.1.2.4 Ransomfree 26
2.1.2.5 Antiransomware 27
ÍNDÍCE
6
7
8
9
12
14
15
16
21
4. 2.1.3 Configuraciones ESET Anti-Ransomware 29
2.1.4 Vtzilla Addons para Mozilla 30
2.1.5 Latch ARW 31
2.2 Medidas humanas
2.2.1 Formación
2.2.2 Phishing controlado
3. Ya soy víctima de ransomware 35
3.1 ¿Qué puedo hacer? 36
3.2 ¿A quién puedo pedir ayuda? 37
4. Conclusiones 38
ÍNDÍCE
32
34
5. Una persona o varias un día crearon los virus informáticos que bloqueaban el
acceso al ordenador y/o engañaban al usuario para que pagara un dinero para
su desbloqueo. ¿Recuerdas el virus de la policía?
Actualmente cifran los archivos para pedir su rescate. Quizás sea una de las
estafas más rentables del mundo. ¿Cuanto pagarías por la información de
tu ordenador? ¿Y una empresa?
1. INTRODUCCIÓN
Autor: “un ransomware es un
secreto a voces, por el que te estafan
con su silencio.”
6. Es una empresa localizada en
Sevilla que nacio en 2013 con el
objetivo de prestar un servicio
técnico y jurídico.
Actualmente dispone de un
equipo multidisciplinar que
realiza trabajos de peritaje
informáticos, auditoría de
seguridad, big data y
desarrollo de aplicaciones y
dispositivos de seguridad
informática.
1.1 ¿Qué es QuantiKa14?
Desde el principio hemos
ayudado a empresas
víctimas de ransomware
en la medida de lo posible,
proporcionando soluciones
preventivas y de
recuperación en el caso de
ser posible.
Más de 200 empresas
han contactado con
nosotros desde 2014
pidiendo ayuda contra
esta gran amenaza.
8. Es muy difícil crear un guía para que cualquier usuario independientemente de
sus conocimientos técnicos pueda comprender todo al 100%. Por ello, hemos
decidido realizar un documento mixto para que tanto administradores de
sistemas, como gerentes , o cualquier cargo de responsabilidad de una
empresa pueda saber cómo prevenir contra esta amenaza.
Los puntos que queremos que el lector aprenda son:
1. Cómo los ciberdelincuentes llegan a infectar y por qué
2. Qué medidas técnicas y humanas existen
3. Qué aplicaciones existen para llevar acabo tales medidas
1.3 OBJETIVO DE LA GUÍA
9. El ransomware (también conocido como rogueware o scareware) restringe el
acceso a su sistema y exige el pago de un rescate para eliminar la restricción.
1.4 ¿QUÉ ES UN RANSOMWARE?
De dónde procede el ransomware
El ransomware lo crean estafadores con un gran
conocimiento en programación informática. Puede entrar
en su PC mediante un adjunto de correo electrónico o a
través de su navegador si visita una página web
infectada con este tipo de malware. También puede
acceder a su PC a través de su red o ataques "directos"
por alguna vulnerabilidad o fuerza bruta.
10. Cómo reconocer el ransomware
Es obvio cuando su dispositivo ha sido infectado con ransomware, ya que
probablemente no podrá acceder a su equipo. También es muy frecuente
encontrar un archivo de texto con los datos y pasos a seguir para "recuperar
los archivos" secuestrados.
¿Qué sistemas operativos afectan?
Existen para casi todos los sistemas operativos tanto para ordenadores y
smartphone. Sin embargo los más conocidos son para Windows y Android.
También es importante recordar que se han detectado en
CMS como WordPress. No solo usadas para chantajear al dueño si no para
distribuir el virus.
1.4 ¿QUÉ ES UN RANSOMWARE?
11. Entre 2015 y 2016 fueron cuatro los troyanos
más activos: TeslaCrypt (casi la mitad del
total de los ataques, pero, por suerte,
tenemos un descifrador para él), CTB-Locker,
Scatter y Cryakl (también desciframos
Cryakl). Estas cuatro familias comparten una
“cuota de mercado” del 80 %.
Fuente:
https://blog.kaspersky.es/ransomware-
blocker-to-cryptor/8526/
1.4 ¿QUÉ ES UN RANSOMWARE?
12. Uno de los primeros casos con los que trabajamos fueron los llamados
"Iloveserver" y "Serverlock" por el email que dejaban de contacto los intrusos,
en el texto que usaban para la extorsión. Hablaremos de intrusión porque el
modus operandi que usaban era:
1. Realizar de forma automatizada ataques de fuerza bruta a Windows Server 2013 que
dispongan de control remoto (RDP) activado.
2. Cuando disponían del acceso al servidor de la presente víctima subían un archivo rar
con todas las herramientas necesarias para cifrar, detectar disco duros externos, escanear
la red, etc.
3. Cifraban todos los archivos en un volumen con una clave usando TrueCrypt.
4. Dejaban una nota en formato TXT en el cual dejaban las instrucciones para
recuperar los archivos.
1.5 FORMA DE INFECCIÓN O INTRUSIÓN DEL RANSOMWARE
13. Sin embargo actualmente el
modo de operar más
frecuentes de los delincuentes
es el envió del ransomware
por email, suplantando la
identidad de alguna entidad
como: bancos, Endesa,
hacienda, policía, etc.
1.5 FORMA DE INFECCIÓN O INTRUSIÓN DEL RANSOMWARE
14. Es importante destacar que el 13 de diciembre de 2016 INCIBE pone a
disposición de los usuarios el nuevo Servicio Antiransomware con el
que cualquier víctima de este tipo de malware podrá contactar con expertos
que intentarán solucionar su problema.
Servicio Antiransomware
2. ¿QUÉ MEDIDAS DEBE IMPLEMENTAR UNA
EMPRESA?
15. Todas las medidas que se exponen ahora se han filtrado por el criterio de
herramientas gratuitas y sin coste para Windows.
Es importante saber que muchas tendrán funcionalidades limitadas en su
versión gratuita o existen otras de pago. Además se añade enlace de descarga
y análisis en Virus Total para su comprobación en los casos que se comparta
enlace de descarga directa.
2.1 MEDIDAS INFORMÁTICAS
16. Realizar una copia de seguridad es el punto más importante. Puede causar
un antes y un después en la empresa en el caso de hacerlo de forma
inadecuada.
Algo muy común y que es una mala práctica es hacer una copia de
seguridad diaria y machacar el del día anterior. No es recomendable
debido a que si el ransomware cifra la copia de seguridad no habrá servido
nada para nada.
Recomendamos una copia en un dispositivo de almacenamiento externo pero
que solo esté conectado en el momento de la copia. Otra mala práctica es
dejar por ejemplo un disco duro externo 24 horas 7 días a la semana
conectado al ordenador.
2.1.1 COPIAS DE SEGURIDAD
17. PREGUNTAS FRECUENTES:
● ¿Cuantas copias de seguridad debo hacer?
2 como mínimo.
● ¿Donde debo hacerlas?
Recomendamos usar un disco duro externo o en la nube(cuidado), aparte de otra en
local.
● ¿Cuanto tiempo debo almacenarlo?
En el caso de que no sepas cuanto tiempo debes almacenar la información según la
LOPD te recomendamos que llames a la Agencia de protección de datos
Española(AGDP) o nosotros podemos asesorarte a través del tlfn → 605 93 89 08
2.1.1 COPIAS DE SEGURIDAD
18. En Windows disponemos de la aplicación
gratuita BackUpTime que permite
programar las copias de seguridad, y elegir
cuales son las carpetas de las cuales se
quiere hacer la copia y en donde se quiere
guardar.
Podemos descargarla en el siguiente
enlace:
http://www.cezeo.com/products/backuptime
/
2.1.1 COPIAS DE SEGURIDAD
19. No os alarméis porque
es muy probable que
sea un falso positivo.
2.1.1 COPIAS DE SEGURIDAD
20. Otra aplicación es Comodo
Backup que nos permite hacer
dos tipos de copia de seguridad:
local y online. En el primer caso,
puedes programar o realizar
manualmente una copia en otra
unidad de disco, externa o
interna. En cuanto a la copia
online, de forma gratuita
tienes hasta 5 GB, ampliable
mediante pago. Además de
comprimir y cifrar los datos
copiados, con Comodo Backup
tienes la posibilidad de programar
la copia en el momento más
oportuno.
2.1.1 COPIAS DE SEGURIDAD
21. BD Anti-Ransomware es una herramienta gratuita desarrollada y
proporcionada por Bitdefender para proteger nuestro PC de Ransomware.
Este Anti-Ransomware ofrece una protección contra virus como TeslaCrypt o
CTB-Locker, entre muchos otros.
Esta herramienta es muy curiosa, ya que tiene un comportamiento muy
diferente al resto. El motivo es que este programa actúa de manera similar a
como lo hace una vacuna. Para ello, simula que el ordenador ya se encuentra
infectado por el virus que está atacando el sistema.
Podéis descargar desde aquí:
http://download.bitdefender.com/am/cw/BDAntiRansomwareSetup.exe
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.2. BITDEFENDER ANTI-RANSOMWARE
22.
23.
24. CryptoPrevent es una herramienta que fue diseñada originalmente para
prevenir los ataques de CryptoLocker, es por ese motivo que se llama así. Con
el tiempo ha mejorado, ampliando su rango de protección contra Ransomware
hasta convertirse en una opción más que recomendada.
Esta herramienta no tiene ninguna incompatibilidad con los principales
antivirus del mercado y es compatible con Windows XP, Vista, 8. 8.1 y 10, por
lo que difícilmente tendremos problemas a la hora de instalarla.
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.3 CRYPTOPREVENT
25. Cuenta con varias versiones de pago que
añaden funcionalidades y una gratuita.
https://www.foolishit.com/cryptoprevent-ma
lware-prevention/
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.3 CRYPTOPREVENT
26. Esta herramienta de seguridad posee un funcionamiento similar a la primera
que nos ha ocupado. Se puede descargar de forma gratuita y su presencia en
el equipo resulta similar a la de un antivirus convencional. Una vez instalada,
se ejecuta en segundo plano comprobando todos los procesos que se
encuentran en funcionamiento en el sistema. Si se detecta algo sospechoso la
herramienta llevará a cabo el bloqueo del proceso y preguntará al usuario si
quiere eliminarlo o continuar con la ejecución.
Al ser similar a un antivirus, es deducible que necesitará de una base de
ransomwares para llevar a cabo las detecciones de forma óptima.
Puede descargarlo aquí: https://ransomfree.cybereason.com/
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.4 RANSOMFREE
27.
28. Unas de las herramientas que
mejor funcionan es el Anti-
ransomware de Yago Jesus.
Actualmente en la versión 3.0 es de
las aplicaciones que no pueden
faltar para prevenir contra el
ransomware.
Su funcionamiento es crear muchos
archivos de todo tipo de formatos
para hacer de anzuelo. Cuando pica
mata el proceso del ransomware.
2.1.2 ANTIVIRUS Y HONEYPOTS
2.1.2.5 ANTIRANSOMWARE
http://www.securitybydefault.com/2016/06/anti-ransom-v3.html
29. Es fundamental crear un sistema de
seguridad que pare y filtre el spam.
Además de cortafuegos que impidan que la
amenaza pueda seguir infectando por la
red.
Para ello recomiendo el dossier que nos
trae de la mano de la casa de Antivirus
ESET.
Antispam de los correos de la empresa
para impedir descargas infecciosas, reglas
del cortafuegos para Endpoint Security y
reglas HIPS para Endpoint Security y
Endpoint Antivirus.
2.1.3 CONFIGURACIONES ESET ANTI-RANSOMWARE
http://descargas.eset.es/templates/fichas_productos/configuracion-ESET-anti-ransomware.pdf
30. Es fundamental que los empleados de la
empresa tengan acceso a herramientas que
les permita identificar si un enlace o un
archivo es malicioso.
Desde que empezamos aconsejar esta
herramienta a los clientes de QuantiKa14, el
nivel de infección a bajado de forma
considerable.
Es una herramienta muy útil para los
empleados que podemos instalar en el
navegador Mozilla.
2.1.4 VTZILLA ADDONS PARA MOZILLA
https://addons.mozilla.org/es/firefox/addon/vtzilla
/
31. Se trata de un concepto diferente al descrito con anterioridad. Esta
herramienta centra sus esfuerzos en proteger las carpetas que indiquemos de
cifrados no autorizados. Tal vez requiere un poco más de proactividad por
parte del usuario. Podría decirse que los que se crea es una capa de seguridad
adicional sobre las carpetas seleccionadas y sus archivos. Con esto, lo que
queremos decir es que se crea un flag que no permitirá la modificación ni
eliminación de los archivos existentes.
Enlace a vídeo en Youtube:
https://www.youtube.com/watch?v=djOA2tT7EYI
2.1.5 LATCH ARW
32. 2.2 MEDIDAS HUMANAS
El eslabón más débil son las personas, esto significa que es fundamental
implementar medidas “humanas”, entendiéndose como medidas que
tengan el objetivo de concienciar y mejorar el conocimiento de todos los
trabajadores de una empresa.
33. 2.2.1 FORMACION
En muchas empresas los trabajadores se llevan el ordenador a casa o su
dispositivo móvil se conecta a la red WIFI. Esto conlleva que la formación
no solo debe ser para el ámbito de trabajo si no también fuera.
La formación para prevenir el ransomware en las empresas dependen de
el número de trabajadores, ordenadores y ámbito profesional. No obstante
recomendamos formación a todos los trabajadores que dispongan
acceso algún ordenador o tengan acceso a la red 1 vez al año.
34. 2.2.2 Phishing controlado
En este caso no serán ciberdelincuentes los que realizarán el phishing si no una empresa
que registrará que puestos de trabajos han pinchado en algún enlace.
Realizando un informe final de concienciación contra la prevención de aplicaciones
maliciosas o intrusiones a través del correo electrónico.
En caso de estar interesados pueden contactar con QuantiKa14 para este servicio.
info@quantika14.com | 605 93 89 08
35. 3. YA SOY VÍCTIMA DE RANSOMWARE
3.1 ¿Qué puedo hacer?
Si eres víctima estos son los pasos que debes hacer:
1. Desconectar el ordenador infectado de la red (tanto cable, como por WIFI)
2. Si el ransomware ha cifrado gran parte y valoras que ya poco queda, puedes realizar
un volcado de la memoria RAM (cómo hacerlo aquí
https://www.fwhibbit.es/volcado-de-memoria-ram-en-windows-osforensics). En caso contrario apaga
el ordenador.
3. Procede a comprobar que no existe ningún ordenador más infectado.
4. Identifica que ransomware te ha infectado en la siguiente página
https://www.nomoreransom.org/crypto-sheriff.php
5. Denuncia en la guardia civil o policía nacional
36. Datos de agosto de 2016
por el CCN-CERT
Algunas ransomware ya tienen
solución y en la siguiente tabla se
exponen.
https://www.ccn-cert.cni.es/gl/informes/informes-ccn-cert-publicos/1384-ccn-cert-ia-01-16-medidas-de-seguridad-
contra-ransomware/file.html
37. 3.2 ¿A quién puedo pedir ayuda?
Como comentamos en el punto 2 de esta guía el 13 de diciembre de 2016
INCIBE pone a disposición de los usuarios el nuevo Servicio
Antiransomware.
También puede contactar con QuantiKa14 para contratar los servicios que
aparecen en esta guía y otros que se adapten a las necesidades de la empresa.
38. ● Aunque el escenario en estos últimos 4 años ha cambiado mucho, las
empresas sobre de tamaño pequeño y mediano son las que más sufren estas
amenaza.
● Encontramos que en ciudades distintas a Madrid y Barcelona disponen de un
mayor desamparo/soluciones por falta de sociedades que puedan ayudar,
recursos económicos y falta de interés por ayuntamientos, delegaciones y
entidades públicas para luchar y prevenir contra la amenaza del ransoware.
● El ransomware aprovecha las diferentes legislaciones de cada país para su
beneficio.
● Es uno de los negocios ilegales más rentables.
● La falta de implicación política española en este asunto beneficia su
propagación y uso por los ciberdelincuentes.
4. Conclusiones del autor