Existe solución para el Ransomware, WannaCry, Cryptolocker y otros similares?

 

 

Debido a la alta y reciente frecuencia de solicitudes de ayuda y soporte respecto de los virus del tipo Ransomware, es que a continuación publicamos este articulo en nuestra Base de Conocimientos para orientar y asesorar a nuestros amigos y clientes a través de nuestra experiencia:

Actualmente existen varias variantes de virus del tipo Ransomware, WannaCry o Cryptolocker dando vueltas por las redes. Podríamos decir que ya es epidemia. Las nuevas versiones de este tipo de malware actúan encriptando archivos y documentos de usuario con un nivel muy alto de cifrado. Para volver ese archivo a su estado original (desencriptarlo) es necesaria la llave original de encriptación. No existe otro método computacionalmente viable. Algunas primeras versiones de Ramsonware fueron solucionables y algunas compañías de software ofrecieron antídotos de dudoso éxito, pero las nuevas versiones más complejas se han vuelto imposibles.

El origen más frecuente de la infección se produce a través de un phishing que se propaga a través de correo electrónico y de páginas web en donde el usuario obtiene sin darse cuenta un archivo que al ejecutarse librera el motor de la infección, que no es más que un software encriptador de archivos que busca documentos en el propio equipo o en unidades de red disponibles, para así bloquearlos utilizando una llave de cifrado aleatoria creada especialmente para este nuevo portador (host). Hoy ya existen otras variantes o mutaciones informadas por las empresas antivirus y que estarían propagándose a través de vulnerabilidades de algunas versiones del popular uTorrent (por ejemplo) y así quizás aparezcan otras formas para que este tipo de virus se esparza.

Una de las formas más dañinas que tienen de operar es encriptando unidades de red. Esto es, por ejemplo: un equipo infectado, quizás sin antivirus o con antivirus desactualizado escribe encriptando archivos de un servidor o de equipos vecinos que comparten archivos de manera remota. Lo particular es que el servidor (por ejemplo), aun teniendo un buen antivirus, no detecta nada, ya que “solo ve” que sus archivos se escriben como cualquiera lo haría al copiar, agregar o editar un archivo de red compartido en sus unidades y como es algo cifrado, menos puede hacer algún análisis de esta escritura ya que no lo puede abrir ni leer. El antivirus del servidor no puede hacer nada al respecto, aunque esté súper actualizado. Ningún antivirus puede a menos que posea la llave de encriptación. Es por esto que a veces se detectan equipos con archivos encriptados y la gente se pregunta por qué no ha actuado su antivirus residente si estaba actualizado y en perfecto estado de funcionamiento.

Es por tanto importante entonces aclarar que en esto hay dos elementos diferentes que identificar claramente: a) el virus que es el motor de la encriptación y b) la infección o mejor dicho los daños que este produce representados por los archivos cifrados que quedan inutilizables. Un antivirus generalmente puede: a) detectar y luego bloquear (cuando el virus quiere ingresar a un equipo, impidiendo que el virus se active, generalmente pasándolo a un espacio encapsulado especial del disco: la cuarentena o directamente borrándolo) o b) limpiar (cuando el virus ya ingresó al equipo) pero no puede restaurar los archivos dañados por la encriptación (por las razones que ya explicamos). Dentro de los más comunes y populares antivirus generalmente lo primero es casi siempre posible: detectar y bloquear la entrada del virus. Lo segundo: limpiar el virus es algo más complejo que no todos hacen o hacen bien; y esto no sólo con este tipo de virus sino con muchos otros, ya que a veces también requiere restaurar archivos de difícil restauración para volver al equipo a su estado anterior a la infección.

Existen sitios web que piden dinero en modo de criptomonedas ofreciendo la llave de encriptación, que como ya decíamos es la única forma de recuperación, pero muchos o casi todos ellos no son más que una trampa.

Detectar al portador de la infección es muy difícil cuando ha hecho daños en una red, salvo que se instale, actualice y se corra un análisis antivirus en todos los equipos. Generalmente un equipo con buen antivirus actualizado no es portador del motor de encriptación, es decir del virus propiamente tal. Según nuestra experiencia en varios casos como estos, el equipo encriptador es un equipo sin antivirus o con escaso antivirus (viejo o desactualizado).

Nuestra recomendación para evitar lo anterior considera comenzar por ordenar la red y tener actualizados sistemas operativos (parches de Microsoft) y antivirus actualizados en todas las máquinas. Prácticamente todos los antivirus mejores rankeados por defecto detectan y bloquean bien el virus (el motor que encripta), pero no pueden detectar cuando se están encriptando los archivos ni repararlos (siempre que estén bien configurados también).

Si la red tiene escasos permisos configurados (pocas credenciales de acceso a sus objetos de red), basta que un invitado (portador del Ramsonware) acceda rápidamente a un IP mediante el DHCP y se conecte esparciendo las encriptaciones, luego se va este equipo y nunca se le detecta.

Por tanto, para todo lo anterior es necesario mantener políticas de seguridad red, comandadas por un Dominio Microsoft (Active Directory) en el caso de redes Microsoft, tal que los objetos y unidades de red no sean accesadas por cualquier visitante de la red.  Esto es muy importante.

También otra solución preventiva a posterior es segurizar especialmente servidores, encriptar sus datos es una alternativa ya que un directorio encriptado no puede ser encriptado nuevamente, y mantener respaldos frecuentes de la información.

En resumen, lamentablemente no hay forma de recuperar los archivos encriptados si no es mediante respaldos (si los tiene). No intenten pagar el rescate. No recibirán nada. Se debe repasar toda la red para tener todo actualizado y con antivirus.  Luego ordenar la red revisando e implementando políticas de seguridad y respaldos para que esto no vuelva a ocurrir. Sin embargo, en Escom hemos probado con relativo éxito herramientas para recuperación, por lo que si encuentra archivos encriptados en su equipo y desea recuperarlos, apáguelo inmediatamente y contáctenos ingresando un nuevo ticket en nuestro sistema. Mientras antes lo haga hay mayor probabilidad de recuperación y de evitar que su información siga dañándose.  También ofrecemos servicios de certificación o normalización de su red, analizando los puntos críticos para que pueda estar tranquilo de que se hayan implementado todas las acciones proactivas para evitar estos riesgos.

Finalmente resumimos recomendaciones de prevención:

  1. Tener 100% de la red (sus equipos y servidores) con un buen antivirus actualizado
  2. Tener el 100% de los sistemas operativos actualizados (con los parches y actualizaciones de Windows).
  3. No mantener carpetas compartidas abiertas sin seguridad (sin solicitar contraseñas de acceso).
  4. Tener un buen antispam/antivirus para el servidor de Correos, ya que es una fuente por la cual el virus llega (adjunto al mensaje o como phishing a un url)
  5. Opcionalmente, encriptar las unidades de servidores sensibles (para evitar que se “sobre-encripten” por el virus)
  6. Contar con respaldos permanentes, para en caso de infección (encriptación de archivos) se puedan recuperar los datos. Una buena y simple idea es activar siempre las “Shadow Copies” de los servidores, así como los sistemas de Backup en ellos.
  7. Algunos firewalls perimetrales también pueden ayudar a frenar la entrada del virus a la red, especialmente si tienen un filtro antivirus.
  8. Evitar abrir correos y páginas web inseguras. A la mínima sospecha, no hacer click en sus contenidos.
  9. No deshabilitar los módulos de análisis antivirus para correos entrantes y de análisis web de su antivirus. Hay usuarios que los deshabilitan cuando en alguna ocasión el correo demora en bajarse o una página no carga. Para lo primero, es mejor tener paciencia. Para lo segundo es mejor tener configurada una lista blanca de sitios en su antivirus.


Si ud. tiene dudas o requiere más ayuda, no dude en contactarnos por nuestra mesa de ayuda: http://soporte.escom.cl


 

 

1

Escom Tecnologías Ltda. - Manquehue Norte 151, oficina 1106, Las Condes, Santiago, Chile +56 9 6108 3613