¿ Que es el Ransonware ?

Por Juan Astudillo

Motivación General para escribir este Artículo.

• Muchos Amigos Ingenieros y Profesionales TI han tenido esta amenaza en su Empresa o en alguna parte.

• Dar a conocer la poca información que existe de este problema.

2

Motivación Técnica para escribir este Artículo.

• Se imaginan no poder abrir sus Archivos Financieros Personales, porque están ahí y ahora se llaman con nombres raros con extensiones desconocidas.

• Abrir un archivo que tiene un nombre Extraño con una extensión conocida, que me resulta familiar por su ubicación en su carpeta, pero al abrirse en el Software, ¿Me muestra contenido encriptado?

• ¿ Que pasaría si una infección de este tipo afectara a nuestros computadores del Hogar o La Empresa? O a los ¿ Servidores Corporativos? o nuestros ¿ Datafiles Corporativos?.

• Los invito a conocer un poco mas de este nuevo Virus informático que desde hace un tiempo está dando dolores de cabeza a los profesionales TI.

3

¿ Ransomware ?

• Ransomware: Es un peligroso tipo de Virus Informático que restringe el acceso a determinados archivos, carpetas o otras ubicaciones del sistema operativo, y solicita un rescate (por dinero) a cambio de quitar esta restricción. Sobrepasa Antivirus y Sistema Bitlocker de Windows.

• Variante Agresiva del Virus: Encripta Archivos que ocupa el sistema operativo inutilizando el dispositivo.

• Variante débil del Virus: Encripta archivos de trabajo que ocupan los usuarios, por ejemplo .txt, .docx, .xlsx, .pptx, etc., incluso Archivos de Scripting (.bat, .py, etc.).

• Ambas Variantes se pueden mezclar produciendo la perdida total, tanto de la Data del Dispositivo (Archivos de trabajo) como del Sistema Operativo.

Ransom = RescateWare = Software

4

Tipos de Ransonware.• Reveton

Fecha de Infección: DesconocidoFuncionamiento: Basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, conocido como “trojan cop” o “troyano de la policía”.Reporte Año 2012: Trend Micro descubrió variaciones de este malware para los Estados Unidos y Canadá.Reporte Agosto de 2014: Avast reporto nuevas variantes de Reventon, donde se distribuía software malicioso con el fin de robar contraseñas.

• CryptoLockerFecha de Infección: Septiembre de 2013 .Funcionamiento: Genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se cifran archivos de un tipo de extensión específica. El virus elimina la clave privada a través del pago de un Bitcoin o un bono prepago en efectivo dentro de los 3 días luego de la infección. Debido al largo de la clave utilizada, se considera que es extremadamente difícil de reparar el ingreso de la infección a un sistema. CryptoLocker fue aislado gracias a que incautaran la red Gameover ZeuS, anunciado oficialmente por el Departamento de Justicia de los Estados Unidos el 2 de junio de 2014.Autor del Virus: Ciberdelincuente Ruso Evgeniy Bogachev (Евгений Богачев).

• CryptoLocker.F and TorrentLockerFecha de Infección: Septiembre de 2014.Funcionamiento: Los usuarios deben ingresar a una página web y mediante un código CAPTCHA acceder a la misma, antes de que el malware sea descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware. Reporte: Symantec, determinó la aparición de nuevas variantes conocidas como CryptoLocker, el cual no tenía ninguna relación al original debido a sus diferencias.

5

Tipos de Ransonware.• TorrentLocker

Fecha de Infección: Sin Información.Funcionamiento: Tipo de infección con un defecto ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado paso a ser trivial pero antes de descubrirse ya habían sido 9.000 los infectados en Australia y 11.700 en Turquía.

• CryptoWallFecha de Infección: 2014.Funcionamiento: Bajo el nombre de CryptoDefense orientado a sistemas Microsoft Windows. Se propaga a través de e-mail de suplantación de identidad (pishing), los cuales usan software de explotación (exploit).

• CryptoWall 3.0 Inicio de Infección: Enero 2015.Funcionamiento: usa una sobrecarga escrita en Javascript, la cual baja archivos ejecutables .exe disfrazados en archivos con extension .jpg.

• CryptoWall 4.0 Inicio de Infección: 2015.Funcionamiento: Potenciado para además de encriptar los nombres de los archivos, encripta el contenido de ellos y potenciado para salir del control de los Antivirus.

6

Sistemas con posibilidad de Contaminación.

7

Windows

Mac

Android

Mitigación.

Aplicación de Políticas de Respaldo y Seguridad.

Al llegar un Virus Informático, a nuestro Hogar o a la Empresa de estas características, hace ver inmediatamente nuestras debilidades informáticas en nuestros Sistemas. También nos muestra nuestras vulnerabilidades de Infraestructura Informática.

1-Seguridad vía Procedimientos.2-Seguridad Infraestructura TI.3-Ver Funcionamiento de Ransomware.4-Consejos para Pre-Evaluación.5-Ransonware via Teamviewer.

9

1-Seguridad Básica vía Procedimientos.Buenas prácticas de los Usuarios.

Nuestros computadores en el Hogar o en la Empresa deben ser cuidados no solo por la gente de Infraestructura TI, sino también por nosotros los Usuarios.

• No abrir Correos Electrónicos de remitentes desconocidos.• No abrir páginas web (urls) desconocidas desde ninguna parte.• No bajar y/o Instalar software no permitido.• No compartir Carpetas a todos los usuarios.• Compartir Carpetas solo a Usuarios específicos.• Cambiar Claves de Logon o Inicio de sesión con alta frecuencia.• Instalación de un Antivirus debe ser obligatoria.• No permitir bajar Archivos que no hemos pedido en el Navegador.• No permitir ejecución de Scripts desconocidos en el Navegador.• No usar Archivos que contengan Macros, excepto sistemas internos de la Empresa construidos en algún software

de Ofimática. (Validado por la gente de Seguridad TI).• Respaldar Archivos de trabajo en Formato .zip o .rar una o dos veces al día en algún medio de respaldo externo,

pendrive, disco duro externo, etc. (Previamente verificado y limpio de contaminación).• No Ejecutar Archivos .exe, .cmd, .bat, .vbs, .js, etc. que no conozcamos.

10

2-Seguridad Infraestructura TI.Buenas prácticas del Área TI.

Las Empresas en su Área TI debieran tener implementadas las siguientes prácticas para evitar focos de contaminación en los Computadores de los usuarios y en sus Servidores de Datos.

Servidores•Sistemas Operativos Actualizados a la última versión posible.•Sistemas Operativos Actualizados siempre con Parches y Fix de forma Temporizada.•Servidores Respaldados tomando como punto de restauración Instalación de Software o Actualización de Parches.•Servidores Auditados para mantener Tableros de Actualizaciones, Versiones de Aplicaciones, Actualizaciones, etc.•Servidores con AD (Windows), Kerberos (Linux), Open directory (Mac) Auditados para Gestión y Reportería.•Monitoreo de Aplicaciones Ejecutándose en Computadores de la Red.•Scripting para Inicio / Termino de Programas y/o Servicios.•Scripting para seguridad de Archivos, Carpetas.•Scripting para bloqueo de ejecución de Archivos.•Scripting para borrado automáticos de temporales (usuarios y sistema) y/o carpetas de trabajo.•Scripting para Auditoria de carpetas compartidas.

11

2-Seguridad Infraestructura TI.Buenas prácticas del Área TI.

Redes•Actualización de Firmware a Hardware no Servidor. Equipos Biométricos, Switches, Routers, Camaras ip, etc.•Administración de Equipos de Switch y Routers con SSH y Generación de Claves(RSA).•Implementación de VLAN para reducir el dominio de Broadcast.•Routers, Switch y Routers con aislación con respecto a Servidores.•Actualización de Hash por Puerto.•Firewall y ACL gestionados por IP.•Proxy, DMZ y HoneyPots.

Seguridad•Respaldo diario de Archivos de Trabajo en Computadores de la Empresa (Compactación, Backup, etc.).•Antivirus Corporativo.•Permanentes Actualizaciones de Archivos de Definición de Datos.•Uso de Removal Tools Corporativos para Amenazas que son excepciones y no tratables por Antivirus.

Email•Políticas de Respaldo de las Bases de Datos de correo.•Gestión de Bloqueo de Contenido de Archivos Adjuntos.

12

3-Ver Funcionamiento de Ransomware.

Demo en Ambiente Seguro Lo que nunca deben hacer !!!!

Fíjense en los nombres de Archivos, nunca hacer click, doble click o ejecutar, incluso pueden venir con nombres de su empresa, estos aparecen por lo general en carpetas compartidas, descargas, escritorio ya sea por una falla de seguridad o porque fueron bajados de un correo.

13

3-Ver Funcionamiento de Ransomware.

Ya es tarde !!!!Ransonware ya funciono y se activo como troyano, encrypto ciertos archivos de tu computador Y ahora te obligaran a pagar un rescate de estos:

14

4-Consejos para Evaluación.

• Profesionales encargados y dedicados a la Seguridad permanente en la Empresa.• Investigación permanente sobre Amenazas y virus informáticos.• Hacking Ético.• Simulación de Ataque Grave a Empresa (¿Qué Pasaría?).• Ayuda permanente con Empresas proveedoras de Antivirus en su Heurística, proporcionando feedback de Amenazas.

15

5-Ransonware via Teamviewer.

• Técnicamente no tiene diferencia con los otros tipos de la familia crypto-ransomware. Usa un algoritmo AES-256 para encriptar archivos y RSA-2048 para asegurar las llaves de encriptación de cada archivo con una llave maestra subida en un servidor C&C.

• Ataca 474 diferentes extensiones de archivo y usa archivos batch para remover las shadow copies del disco duro, haciendo inútil el proceso de auto recuperación.

• Hackers buenos han usado un backdoor del virus para ayudar a las victimas del Ransonware Gratuitamente a recuperar los archivos, pero los servidores C&C fueron bajados haciendo el backdoor inutilizable, y haciendo que incluso pagando los archivos sean imposibles de recuperar.

•No Agregue contactos desconocidos a Teamviewer, y mejore esporádicamente su seguridad.

16

Extensiones de Archivos que Infecta.•".asf", ".pdf", ".xls", ".docx", ".xlsx", ".mp3", ".waw", ".jpg", ".jpeg", ".txt", ".rtf", ".doc", ".rar", ".zip", ".psd", ".tif", ".wma", ".gif", ".bmp", ".ppt", ".pptx", ".docm", ".xlsm", ".pps", ".ppsx", ".ppd", ".eps", ".png", ".ace", ".djvu", ".tar", ".cdr", ".max", ".wmv", ".avi", ".wav", ".mp4", ".pdd", ".php", ".aac", ".ac3", ".amf", ".amr", ".dwg", ".dxf", ".accdb", ".mod", ".tax2013", ".tax2014", ".oga", ".ogg", ".pbf", ".ra", ".raw", ".saf", ".val", ".wave", ".wow", ".wpk", ".3g2", ".3gp", ".3gp2", ".3mm", ".amx", ".avs", ".bik", ".dir", ".divx", ".dvx", ".evo", ".flv", ".qtq", ".tch", ".rts", ".rum", ".rv", ".scn", ".srt", ".stx", ".svi", ".swf", ".trp", ".vdo", ".wm", ".wmd", ".wmmp", ".wmx", ".wvx", ".xvid", ".3d", ".3d4", ".3df8", ".pbs", ".adi", ".ais", ".amu", ".arr", ".bmc", ".bmf", ".cag", ".cam", ".dng", ".ink", ".jif", ".jiff", ".jpc", ".jpf", ".jpw", ".mag", ".mic", ".mip", ".msp", ".nav", ".ncd", ".odc", ".odi", ".opf", ".qif", ".xwd", ".abw", ".act", ".adt", ".aim", ".ans", ".asc", ".ase", ".bdp", ".bdr", ".bib", ".boc", ".crd", ".diz", ".dot", ".dotm", ".dotx", ".dvi", ".dxe", ".mlx", ".err", ".euc", ".faq", ".fdr", ".fds", ".gthr", ".idx", ".kwd", ".lp2", ".ltr", ".man", ".mbox", ".msg", ".nfo", ".now", ".odm", ".oft", ".pwi", ".rng", ".rtx", ".run", ".ssa", ".text", ".unx", ".wbk", ".wsh", ".7z", ".arc", ".ari", ".arj", ".car", ".cbr", ".cbz", ".gz", ".gzig", ".jgz", ".pak", ".pcv", ".puz", ".rev", ".sdn", ".sen", ".sfs", ".sfx", ".sh", ".shar", ".shr", ".sqx", ".tbz2", ".tg", ".tlz", ".vsi", ".wad", ".war", ".xpi", ".z02", ".z04", ".zap", ".zipx", ".zoo", ".ipa", ".isu", ".jar", ".js", ".udf", ".adr", ".ap", ".aro", ".asa", ".ascx", ".ashx", ".asmx", ".asp", ".indd", ".asr", ".qbb", ".bml", ".cer", ".cms", ".crt", ".dap", ".htm", ".moz", ".svr", ".url", ".wdgt", ".abk", ".bic", ".big", ".blp", ".bsp", ".cgf", ".chk", ".col", ".cty", ".dem", ".elf", ".ff", ".gam", ".grf", ".h3m", ".h4r", ".iwd", ".ldb", ".lgp", ".lvl", ".map", ".md3", ".mdl", ".nds", ".pbp", ".ppf", ".pwf", ".pxp", ".sad", ".sav", ".scm", ".scx", ".sdt", ".spr", ".sud", ".uax", ".umx", ".unr", ".uop", ".usa", ".usx", ".ut2", ".ut3", ".utc", ".utx", ".uvx", ".uxx", ".vmf", ".vtf", ".w3g", ".w3x", ".wtd", ".wtf", ".ccd", ".cd", ".cso", ".disk", ".dmg", ".dvd", ".fcd", ".flp", ".img", ".isz", ".mdf", ".mds", ".nrg", ".nri", ".vcd", ".vhd", ".snp", ".bkf", ".ade", ".adpb", ".dic", ".cch", ".ctt", ".dal", ".ddc", ".ddcx", ".dex", ".dif", ".dii", ".itdb", ".itl", ".kmz", ".lcd", ".lcf", ".mbx", ".mdn", ".odf", ".odp", ".ods", ".pab", ".pkb", ".pkh", ".pot", ".potx", ".pptm", ".psa", ".qdf", ".qel", ".rgn", ".rrt", ".rsw", ".rte", ".sdb", ".sdc", ".sds", ".sql", ".stt", ".tcx", ".thmx", ".txd", ".txf", ".upoi", ".vmt", ".wks", ".wmdb", ".xl", ".xlc", ".xlr", ".xlsb", ".xltx", ".ltm", ".xlwx", ".mcd", ".cap", ".cc", ".cod", ".cp", ".cpp", ".cs", ".csi", ".dcp", ".dcu", ".dev", ".dob", ".dox", ".dpk", ".dpl", ".dpr", ".dsk", ".dsp", ".eql", ".ex", ".f90", ".fla", ".for", ".fpp", ".jav", ".java", ".lbi", ".owl", ".pl", ".plc", ".pli", ".pm", ".res", ".rsrc", ".so", ".swd", ".tpu", ".tpx", ".tu", ".tur", ".vc", ".yab", ".aip", ".amxx", ".ape", ".api", ".mxp", ".oxt", ".qpx", ".qtr", ".xla", ".xlam", ".xll", ".xlv", ".xpt", ".cfg", ".cwf", ".dbb", ".slt", ".bp2", ".bp3", ".bpl", ".clr", ".dbx", ".jc", ".potm", ".ppsm", ".prc", ".prt", ".shw", ".std", ".ver", ".wpl", ".xlm", ".yps", ".1cd", ".bck", ".html", ".bak", ".odt", ".pst", ".log", ".mpg", ".mpeg", ".odb", ".wps", ".xlk", ".mdb", ".dxg", ".wpd", ".wb2", ".dbf", ".ai", ".3fr", ".arw", ".srf", ".sr2", ".bay", ".crw", ".cr2", ".dcr", ".kdc", ".erf", ".mef", ".mrw", ".nef", ".nrw", ".orf", ".raf", ".rwl", ".rw2", ".r3d", ".ptx", ".pef", ".srw", ".x3f", ".der", ".pem", ".pfx", ".p12", ".p7b", ".p7c", ".jfif", ".exif", ".rar"

17

-Presentación solo de Lectura, sin Macros y Libre de contaminación.

-Microsoft Windows es propiedad de Microsoft Corporation. Todos los derechos reservados.-Logo Android y Android son propiedad de Google. Todos los derechos reservados.

-Linux es propiedad de Linux. Todos los derechos reservados.

Presentación construida con software original Microsoft Windows, Microsoft Office.

Gracias