UA-20469404-1
Mar 032016
 

Existen muchas variedades de Ransomware (técnica utilizada para cifrar la información y pedir rescate para recuperarla), generalmente llegan por correo electrónico, aunque también se puede dar el caso por visitar webs (infectadas o a propósito) y que pueden descargar dichos malwares.

Uno de los puntos más débiles en seguridad es utilizar sistemas y/o aplicaciones sin los últimos parches aplicados, este punto es muy importante debido a la inseguridad que provocan dichas vulnerabilidades, por esta razón es altamente aconsejable utilizar sistemas operativos y aplicaciones vigentes y con soporte, con un plan de actualizaciones para solucionar los agujeros de seguridad que se van detectando.

Otro punto muy importante es una correcta formación a los usuarios finales, para poder diferenciar lo que es correcto y lo que no, evitando de esta forma las trampas de ingeniería social que se utilizan para hacer que el usuario termine ejecutando el malware.

Una buena solución perimetral que controle la navegación y los correos electrónicos bien configurada puede evitar muchos de estos problemas. Validar las URL para saber si se trata de una dirección de phishing, maliciosa o con descargas de malware, evitar que ficheros ejecutables, documentos con macros, scripts, etc., puedan llegar al usuario final, puede evitar muchos quebraderos de cabeza.

Si aún activando y configurando todos estos filtros, o por si por políticas de la empresa estos ficheros deben entregarse al usuario final o por no disponer de soluciones perimetrales, damos una serie de configuraciones para que el VirusScan en función de la variante del ransomware que le pueda llegar al usuario, y si éste lo ejecuta, poder minimizar los efectos en lo posible.

  • Regla para impedir que archivos ejecutables se ejecuten en AppData y evitar que puedan crearse nuevos archivos ejecutables


    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse1
    Genere la siguiente regla:vse2
    vse3
  • Prevención de la ejecución de scripts desde la carpeta temporal:Marcar también “Bloquear”vse4
  • Evitar la ejecución de nombre específico del script en la carpeta temp
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse5
  • Prevenir que nuevos ejecutables sean creados por Word.EXE, EXCEL.EXE o POWERPNT.EXE en la carpeta TEMP
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse6
  • Bloquear la creación del valor de la clave bajo “HKCU\Software\locky”
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse7
    vse8
  • Bloquear la creación de ficheros con extensión “.locky” por un procesos ejecutado desde la carpeta %temp%
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse9
  • Bloquear la creación y ejecución de ficheros EXE de AppData
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse10
  • Bloquear la creación de ficheros .tmp.tmp en AppData
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse11
  • Bloquear la creación del valor de la clave CryptoLocker
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse12
    vse13
  • Bloquear la creación de ficheros .cry en AppData
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse14
  • Bloquear la creación y ejecución de ficheros decrypt_instruction.*
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse15
  • Bloquear la creación de ficheros *.encrypted en AppData
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse16
  • Bloquear la escritura y creación de ficheros *.EXE en AppData
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse17
  • Bloquear la ejecución y creación de ficheros *.scr
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse18
  • Bloquear la ejecución de inyencción de codigo en Explorer
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse19
  • Bloquear el mecanismo de autoreinicio
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse20
  • Bloquear la creación de ficheros HELP_DECRYPT.HTML
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse21
  • Bloquear la creación de ficheros HELP_DECRYPT.TXT
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse22
  • Bloquear la creación de ficheros Howto_RESTORE_FILES.bmp
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse23
  • Bloquear la creación de ficheros Howto_RESTORE_FILES.html
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse24
  • Bloquear la creación de ficheros HELP_YOUR_FILES.HTML
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse25
  • Bloquear la creación de ficheros HELP_YOUR_FILES.TXT
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse26
  • Bloquear la creación de ficheros HELP_YOUR_FILES.PNG
    Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:vse27

Más información en los siguientes enlaces:

Knowledgebase Article on latest Ransomware – Locky
Knowledgebase Article on latest Ransomware – X97M/Downloader
Knowledgebase Article – Protecting against Cryptolocker, CryptoWall & Teslacrypt

 

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 3 de Marzo de 2016

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies