miércoles, 7 de septiembre de 2016

RANSOMWARE - PARTE V - RECOMENDACIONES A EMPRESAS

Introducción
El día 30/08 publicamos la Parte IV de la saga de artículos sobre Ransomware (pueden encontrarlo aquí), en este comentábamos de manera global como pueden evitar ser víctimas del malware Ransomware, que sigue afectando a gran parte de los que usan tecnología. 
De manera resumida, el atacante les hace llegar un correo o Uds visitan un sitio web engañados, y bajan este software malicioso, que cifra la información y la única manera de recuperar la misma, si no han sido cuidadosos, es con un backup o pagando los bitcoins.

En esta entrega vamos a hacer foco en redes corporativas y vamos a tomar acciones para que los equipos que usan la red, sin importar lo que haga el usuario, no se infecte de ransomware.

Análisis de Infraestructura Clásica
Analizando los esquemas de red de las empresas u organizaciones, encontramos situaciones similares a la siguiente (el nivel de madurez depende de la organización, pero en gran medida, esta es la configuración general):

1) Red con servicios de Microsoft Active Directory (se convertirá en nuestro mejor aliado).
2) Los equipos (PC y Servidores) con un anti-malware instalado. (sin ajustar correctamente).
3) Acceso a Internet sin filtros especiales o con configuraciones básicas.
4) Un servidor de correo, y eventualmente un antispam.
5) PCs unidas al dominio, en gran parte sin actualizar y donde los usuarios son administradores locales. A su vez, los usuarios poseen unidades mapeadas en el File Server u otro server requerido.
6) Un File Server con carpetas compartidas para los usuarios  de la red (los permisos en gran parte configurados en el recursos compartido) y algunas restricciones a nivel NTFS. 
7) Backup que se ejecutan únicamente a la noche.

Manos a la obra...
Vamos analizar cada uno de los puntos mencionados anteriormente y vamos a hacer ajustes para mitigar los problemas de seguridad para evitar una infección de ransomware.

1) Servicios de Microsoft  Active Directory
La mayoría de las organizaciones utilizan este servicio de directorio con el fin de administrar de manera centralizada USUARIOS y EQUIPOS. Pues bien, hagásmolo!.  Si no queremos ser víctima de software maliciosos en nuestros equipos, el servicio de Active Directory es nuestro principal aliado. Ajustes que podemos realizar desde este servicio que impactará en las PCs (Personal Computer, notebook, ultrabook, All-in-one, etc) y evitará problemas de seguridad.

1.1) Usuarios sin permiso de administrador local: Si bien es un cambio que el administrador de la plataforma se rehusa hacer por los ajustes y pruebas que deberá someter ha ciertos perfiles de PCs y Usuarios, (existen aún aplicaciones propias o de terceros que requieren permisos elevados para funcionar), es una manera de evitar que el usuario con/sin conocimiento instale aplicaciones en la PCs. Desde el Servicio de Directorio podemos crear diferentes GPO (Group Policy Object), una de ellas es configurando algunas acciones de restricción en la PCs local, por ejemplo

a) El usuario no pertenece al grupo de administrador local de la PC, solo a los grupos globales y de seguridad del dominio.
b) La contraseña de la cuenta administrador local (puede renombrarse esta cuenta también por GPO) es definida desde políticas de dominio y el usuario la desconoce.

1.2) Restricción de ejecución de aplicaciones: Una de las características que más me gustó en el lanzamiento de MS Windows 7 / 2008 R2, fue la aparición del APPLOCKER. Esta funcionalidad, que puede administrarse perfectamente por GPO, permite al administrador de la plataforma definir que aplicaciones pueden usarse en cada equipo, más allá de todo lo que tenga instalado en la misma. Suponiendo que el usuario de contabilidad requiere aplicaciones contables de 16 bits, MS Office, Aplicativos Web y otras herramientas (ZIP, Trustee, etc) se pueden definir en la GPO que puede ejecutar dicho usuario, teniendo en cuenta los siguientes puntos:

a) Hacer un relevamiento por perfiles, de que aplicaciones requieren ejecutar los diferentes usuarios.
b) Homologar el software de la compañía (Se recomienda armar un catálogo de softwares validados por la empresa). El personal de la Mesa de Ayuda se pondrá feliz, porque ya no tendrá que dar soporte a softwares que no estén catalogados y el Area Legal por que estarán seguros que solo usarán el software correctamente licenciado/adquirido por la compañia.
c) Hacer una GPO en donde se defina que aplicaciones podrán utilizar los usuarios, dependiendo de un perfil ejemplo o definido para pruebas.
d) Implementar la GPO en un ambiente de prueba previamente. El usuario no debe ser administrador local de la PC pero si tener los permisos necesarios para ejecutar las aplicaciones que se le desea dar acceso. La GPO en la configuración del APPLOCKER puede ajustarse por
  • Ubicación de los archivos válidos que deberán ser ejecutados por el usuario (Path del disco). Ideal para aplicaciones que no se instalan o son de terceros.
  • Hash del archivo, el sistema calcula un hash criptográfico del archivo identificado.
  • Publicador del archivo, quien es el fabricante, versiones del software, etc.
En los escenarios de prueba en donde estuvimos evaluando el APPLOCKER, donde el usuario no es administrador local, observamos en el log del antivirus y del S.O, como el Ransomware quería ejecutarse e intentar crear directorios para cifrar la aplicación, pero el S.O. le daba acceso denegado.
El administrador puede generar una GPO para auditar el comportamiento del usuario en la PCs y si observa el intento de ejecución de una aplicación maliciosa saldrá a la luz para que el mismo tome acciones correspondientes.

1.3) Unidades mapeadas: este clásico que viene repitiéndose desde Microsoft NT 4.0 SP6a, permite que el Ransomware observe la unidad mapeada en la PCs a infectar como unidad local y termine cifrando toda la unidad (mas allá que sea una unidad compartida de un servidor o file server). Si los usuarios no poseen unidades mapeadas y de alguna manera las carpetas compartidas de la red están ofuscadas y con los permisos ajustados, el Ransomware podría llegar solo afectar a la PCs pero no al File Server. 
Uds mientras lee estas lineas, se preguntan cómo podrían eliminar las unidades mapeadas, bueno, he aquí dos opciones

  • Microsoft DFS (Sistema de Archivos Distribuidos): en vez de compartir y dar acceso a los usuarios con el clásico Share Folder o Carpeta Compartida y mapear la unidad, se configura en el servidor que posee el rol de File Server (no requiere licencias adicionales para esto) el servicio de DFS. Esto permitirá que los usuarios en vez de acceder al recurso \\nombredelserver\carpetacompartida y esté mapeada de esa manera con una letra del abecedario, los usuarios accederían a \\nombredeldominio\carpetafileserver, por ejemplo para el dominio ACME.LOCAL, sería \\acme.local\carpetafileserver. Además, como valor agregado que posee este servicio, puede incorporar un servidor adicional con el rol de File Server y todos los archivos que se generen en el servidor principal, serían replicados como contingencia y backup al servidor secundario gracias al DFS.
  • Microsoft SharePoint Foundations: Uds pueden bajar desde Microsoft el Ms SharePoint Foundations 2013 y generando una base de SQL Express (o uniendo la plataforma a un servidor de SQL Server existente en la red) una base de datos en donde se alojarían todos los archivos que se suban a la Biblioteca de SharePoint. Dentro del valor agregado que hoy NO tiene con el File Server tenemos (son los más fáciles de implementar y de manera rápida) :
    • Subir archivos a un repositorio con permisos definidos y seguros.
    • Configurar versionado de archivos, permitiendo al usuario recuperar hasta cierta cantidad de archivos modificados (esto es configurable por al administrador de la plataforma).
    • Crear workflows para notificar a los usuarios cuando se suben nuevas actualizaciones de archivos o nuevos.
    • No mandar mas archivos por e-mails, se envía la URL de la ubicacion de los mismos en el SharePoint.
    • Simplifica el backup (backup de la base de datos MS SQL SERVER).
    • Configurar réplica de archivos en otro servidor de SharePoint configurado dentro de la Farm o granja.
    • Proteger los archivos del ransomware.
    • Crear Workflows para alojar cierto tipos de archivos en bibliotecas según como sea etiquetado.
    • Obtener portabilidad del File Server (podrá accederlo desde la mayoría de los navegadores y desde la mayoría de los dispositivos de red)
            Aquí debe ser dimensionado correctamente el crecimiento de la base, según el volumen de archivos que se van a subir al SharePoint. Por otro lado, los ransomware no matan el proceso de SQL Server como servicio, por lo cual, la base de SQL no deja de estar tomada por el servicio y por ello el malware no puede cifrar la misma.  Por otro lado SharePoint le permitirá ir capacitando a los usuarios para que el próximo paso de uso de los archivos sea la nube, con aplicaciones como Office 365.

2) Anti-Malware
Todos los equipos de la red deben tener algún tipo de protección. Se recomienda verificar que extensiones poseen los ransomwares y desde la consola centralizada denegar la generación de esos archivos. Si bien hay extensiones que son similares de archivos que puedan utilizar un usuario, verificar el perfil del usuario/ordenador y aplicar las restricciones posibles.
Mantener el "antivirus" actualizado es fundamental y si el mismo posee la funcionalidad de denegar ciertos comportamientos, se recomienda aplicarlos (Ej: crear directorios en ciertas ubicaciones, ziperar archivos, etc). Si desea verificar la lista de extensiones, les recomendamos acceder a este archivo excel. INGRESE AQUI.

3) Acceso a Internet
En menor medida, los ransomware pueden ser bajados desde Internet por los usuarios si acceden a sitios de dudosa reputación. Lo que se recomienda para estos casos es:
  • Implementar una solución de proxy que tenga definidos grupos con niveles de permisos.
  • Dependiendo los grupos a los cuales pertenece el usuario, será el nivel de acceso a Internet. Debe ir de mas restrictivo a menos restrictivo. 
  • Verificar y monitorear los accesos a Internet.
  • Preferiblemente (y para no estar como el caballo detrás de la zanahoria bloqueando sitios en la consola del proxy) contar con una solución que tenga un URL Filtering (filtrado por categorías) y Antivirus.  El filtrado provisto por la mayoría de los fabricantes es eficiente y puede en un solo tilde de selección en una consola prohibir todos los sitios que hacen referencia a una categoria (Ej: pornografía, o streamming como radios y peliculas). De esta manera protege el acceso a Internet como también lo optimiza mejorando el consumo del ancho de banda.
Ciertos Ransomwares, al abrir el correo de phishing que reciben los usuarios, si el usuario quiere visitar el sitio Web, bajan a cuenta gotas el malware. Si posee un proxy con URL Filtering esto puede ser evitado.

4) Antispam / Antivirus de correo
Hoy lo más cómodo es llevar el correo a la nube, pero hay organizaciones que aún usan el servicio de correo on-premise. La mayoría de los ransomware se distribuyen por correo electrónico en modalidad phishing y haciendo uso de Ingeniería Social (es decir, Uds recibe un correo de alguien que se hace pasar por un conocido que le manda un archivo o link adjunto para que lo acceda).
Pues bien, en el caso de tener un servicio on-premise de correo, es recomendado contar con una solución de antispam que filtre los correos de dudosa reputación. Algo que es simple de aplicar y la mayoría de los servidores de correo permiten configurar, es el rechazo de correos cuando no corresponde el PTR o DNS inverso (es decir validan el dominio para verificar si es correcto y la IP no se corresponde al dominio original).
Capacitar a los usuarios es una opción a tener en cuenta para que no abran cualquier tipo de correo.

5) Plataformas Actualizada
Todas las plataformas son susceptibles a infección de ransomware si no están correctamente ajustadas. Los fabricantes están todo el tiempo lanzando actualizaciones, es por ello que deben contar con procedimientos de actualización regulares para las diferentes plataformas.
En el caso de Microsoft, Uds cuenta con una solución como el WSUS que permite a los administradores de tecnología implementar las actualizaciones de manera centralizada de los productos Microsoft. Si bien se recomienda actualizar todos las soluciones que se utilicen en la plataforma, aquellas actualizaciones que no puedan realizarse por el WSUS, pueden hacerse utilizando el servicio de Ms Active Directory, creando paquetes msi.
En la plataforma Uds deberá contar con un servidor que tenga el servicio de WSUS implementado y eventualmente un empaquetador de actualizaciones que genere archivos msi para desplegar por GPO.

6) Backup
Un concepto que observo que se evalúa poco, es la importancia que tiene la información del negocio para la compañía y esto sale a flote cuando un ransomware ha cifrado la información y el backup que poseen no sirve y eventualmente pierden archivos. En el análisis resulta mas barato pagar lo que piden por la captura del ransomware que perder el archivo.
Recomendamos para estos casos:
  • Hacer un relevamiento de la información sensible e importante para los procesos de negocio.
  • Verificar los niveles de actualización de la información distribuida.
  • Consultar a los dueños de los procesos de negocio que tiempo de ausencia o el no acceso a la información es el permitido por el proceso, en el caso de una contingencia.
  • Ajustar la solución de backup para que se alinea a las necesidades del proceso de negocio.
  • Mantener versionado, no un solo backup.
  • Hacer pruebas de restauración.
  • Controlar, controlar, controlar......
Por otro lado, no hay que hacer solo backup a la información, si no pensar en los resguardos de los servicios o servidores que forman parte en los procesos de negocio de la compañía. Si se infecta una plataforma, ¿Cuánto es lo máximo que puede llegar a perder? ¿Cómo impacta en la imagen de la compañía? ¿Cómo queda parado ante la competencia? ¿Hay regulaciones legales que cumplir?

El análisis debe ser realizado y cualquier ajuste que se requiera hacer, va ser siempre mas barato que la pérdida de información o ausencia del proceso de negocio. Por ejemplo, en EEUU, las entidades de salud que ha sido víctima de ransomware, deben denunciarlo ante la entidad de salud. Esto está regulado por HIPAA. Si desean acceder a la guía, ingrese AQUI.
Capacitación
Dentro de nuestro plan de concientización generamos estos contenidos para que Uds los difundan. Ahora bien, estos contenidos también tienen que llegar a miles de usuarios que usan tecnología y desconocen las amenazas que están en la puerta de acceso a Internet. 
Obviamente este artículo es demasiado técnico, pero si Uds repara en las versiones desde la Parte I a la Parte IV de esta saga, son contenidos preparados para que puedan ser difundidos a los usuarios de tecnología.
Es importante concientizar!!. En los diferentes eventos, cuando se pregunta al público sobre las acciones antes las barreras de protección que poseen los diferentes S.O, todos responden lo mismo "... lo desactivan por que es más fácil el uso...". El engaño y fraude van de la mano en la tecnología y no es la primera vez, ya hay otras amenazas mas antiguas que lo han utilizado. (Vea PARTE II).
Estos contenidos pueden ser divulgados siempre y cuando mencionen la fuente.

Resumiendo
Si ha llegado hasta aquí leyendo este artículo, podrá observar que protegernos del ransomware no requiere una inversión en aplicaciones de seguridad, si no mas bien aplicar buenas practicas y aprovechar todos los servicios que los S.O. hoy ofrecen. En el caso de Microsoft, las soluciones mencionadas no requieren una erogación de dinero extra y permite madurar/ordenar su plataforma.
Hoy el ransomware está provocando pérdidas importantes en organizaciones que no cuentan con cierto tipo de ajustes y pensar que solo el antimalware (antivirus) va a protegernos es un grave error.
Este artículo es un resumen de las conferencias que venimos ofreciendo para concientizar a las compañías con el fin de dejen de ser víctimas de esta estafa.
Pueden agregarse otras configuraciones adicionales, seguramente, pero con esta configuración la plataforma pasa a un esquema de ambiente seguro o con un riesgo bajo o aceptable. Va a depender hasta donde quieran madurar en la organización, ya que lo ideal hoy es subir la información de los procesos de negocio a Cloud y eso requiere también de madurez del negocio.

En el Sitio de Microsoft, van a encontrar diferentes asistentes o ayudas muy detalladas para configurar las opciones mencionadas anteriormente. Pueden buscar en Channel 9 videos e instructivos desarrollados por MVP, con paso a paso para que no fallen en la configuración.

Importante
Generar conciencia del uso de la tecnología....
Cambiar la forma de hacer la cosas...

Hasta la próxima.




Proteccion contra el Ransomware - evento 21/09

Este evento está destinado a entender como funciona el malware que secuestra la información y pide rescate por ella. No hace falta contar con conocimientos avanzados en tecnología, y al finalizar le permitirá tomar acciones con el fin de no infectarse.
Para las empresas que asistan, el evento les permitirá observar como las plataformas Microsoft actuales, con ciertos ajustes ya quedan protegidas del ransomware.

Por otro lado, ponemos a disposición la presentacion 100% técnica donde hay laboratorios de Ransomware, análisis de los más comunes, como remover el ransomware y como protegerse en un ambiente corporativo. Contáctenos.

Hasta la próxima.


martes, 30 de agosto de 2016

RANSOMWARE - PARTE IV - RECOMENDACIONES A USUARIOS

Introducción
Hasta el momento hemos analizados cuales son los vectores de infección del ransomware y analizamos los malware más clásicos.
Ahora bien, nos falta aún ver dos temas: como protegerse y como actuar si un ransomware infecta su equipo o red. En este capítulo, vamos analizar como protegerse.

Protegerse contra el ransomware - 10 buenas medidas
Enn base a lo analizado en cuanto al comportamiento de estos malware, hemos armado una lista de acciones que permitirían a Uds una infección de este tipo o al menos no perder la información. Las acciones son:

1) BACKUP o RESGUARDO DE INFORMACION: realice backups de manera periódica de su información o de su plataforma. Recuerde que el malware cifra la información que Uds tenga alojado en su dispositivo, por lo cual, si Uds posee un backup actualizado, puede recuperar esos archivos sin tener que pagar el rescate. Se recomienda usar dispositivos externos y por que no un espacio de nube tipo One Drive de Microsoft o Google Drive.

2) ANTIMALWARE: su equipo (PC, notebook, ultrabook, celular y otros) debe contar con un antivirus actualizado, sobre todo con capacidades de analizar comportamiento, ya que muchos de los antimalware no logran detectar en tiempo y forma un ransomware, pero si el mismo posee comportamientos anómalos, pueden ser frenados por el software de protección.

3) MENOS PRIVILEGIOS: usar el equipo con bajos privilegios o permisos. En el caso de que aparezca una pantalla pidiendo la elevación de permisos o usuario/contraseña con un usuario con más permisos, verifique bien que se está instalando o por que el pedido de elevación de permisos.

4)  EQUIPOS ACTUALIZADOS: mantenga los productos que usa actualizados. Los fabricantes están constantemente sacando actualizaciones, donde muchas de ellas son para prevenir problemas de seguridad. Si posee poco espacio disponible para que el equipo baje y actualice, haga un backup y elimine información que no utilice regularmente, pero permita a la plataforma que se actualice. Hems observado que los usuarios no mantienen sus equipos celulares actualizados por que carecen de espacio para bajar de internet la actualización.

5) DESCONFIAR: No abra archivos adjuntos que provengan de correos electrónicos de personas que no conoce. Si algún conocido le ha enviado algún adjunto y sobre todo un archivo ZIP, RAR o compactado, verifique con el emisor si efectivamente le mando ese correo.  Les recomendamos leer el articulo II de la serie donde hablamos de la desconfianza y el engaño de los intrusos para que Uds use un archivo infectado.

6) BAJAR CON SEGURIDAD: no baje música, videos o software de sitios de dudosa reputación, es allí donde los contenidos tienen un malware escondido y listo para infectar su ordenador. Están de moda los servicios Cloud a un muy bajo costo, es preferible que utilice estos servicio a que pierda toda la información en manos de un ransomware.

7) MACROS EXCEL: Evite usar archivos Excel o de ofimática con la opcion de macros. Esto son muy usados para personalizar ciertas funcionalidades o aplicar programación a las planillas, pero también se usan para enmascarar u ocultar un ransomware. Si debe usarlos, trate de que el intercambio sea solo con personas de confianza y que poseen equipos de alguna manera protegidos.

8) NO MAPEAR UNIDADES DE RED: si trabaja en un entorno colaborativo, trate de no mapear unidades de red, ya que el ransomware lo va a detectar como una unidad local y cifrará el contenido. Se recomienda usar un esquema como \\nombredelaPC\nombrerecursocompartido. Puede hacer un acceso directo en el escritorio con esta opción, por ahora no hay ransomware que detecte este tipo de configuración y no esta mapeando un disco como O:, P:, etc.

9) PROTECCIONES DE LOS S.O: todos los S.O poseen protecciones, no desactivar las mismas. Por ejemplo MS Windows, posee el UAC, en donde si Uds desea realizar alguna tarea que requiera permisos, le solicitará un usuario con privilegios. En el caso de la MAC le solicitará la contraseña y si utiliza un celular, por ejemplo ANDROID le bloqueará la instalación de paquetes que no sean de una fuente confiable (MAC posee de la misma manera este tipo de configuración). No las elimine o desactive, son medidas que van a proteger su equipo cuando se descuide.

10) NO PAGAR RESCATE: no pague el rescate. Regularmente surgen aplicaciones que permiten descrifrar los archivos que han sido cifrados por un ransomware. Es la única manera de evitar que se siga expandiendo este tipo de fraude. Por otro lado, si no hay una herramienta o software que permita recuperar esos archivos, haga un backup completo del disco, en algún momento aparecerá una aplicación que le libere los archivos secuestrados por la verisón de ransomware. Recuerde que la extension de los archivos cifrados, permite detectar la version de ransomware que lo ha afectado, por lo cual, nunca oculte la versión de los archivos, trate de configurar el S.O para que siempre se los muestre.

En el próximo capítulo, vamos a ver que debe hacer Uds si ha sido una víctima de Ransomare.
Hasta la próxima...


1 Hack Para Los Chicos - Final

Y pasó un evento más de 1 Hack Para Los Chicos...
Se recolectaron más de 200 lts de leche. Aquí les dejo algunas fotos....


 






Chema x Skype.







Gracias a todos por participar...
Gracias a todos por colaborar...
Gracias IES por la tremenda logística e infraestructura...

Para aquellos que se perdieron el evento, pueden encontrar las filmaciones AQUI.- 1 Hack para los Chicos


Los esperamos en la próxima...

jueves, 25 de agosto de 2016

1 HackParaLosChicos - 2016


Mañana los esperamos en la edición 2016. Acá les dejo la agenda
INSCRIBIRSE AQUI

Agenda

09:30 h
Presentación 1HackParaLosChicos
09:40 h
Presentación 1 Litro de Leche por Mes Córdoba

10:00 h
Ransomware, el secuestro virtual. Cómo me protejo?
Enrique Gustavo Dutra & Carlos Garay

11:00 h
Mitos y verdades en la investigación de la ciberdelincuencia
Marcelo Temperini & Maximiliano Macedo

11:50 h
Break
12:00 h
IoT - Internet of Tracks?
Ricardo Nicolas Temperini

13:00 h
Break / Almuerzo
14:00 h
Yo también quiero ser un hacker
Gabriel Franco

15:00 h
Seguridad y Privacidad en IPV6
Fernando Gont

15:50 h
Break
16:00 h
Coworking, evolucionando en la forma de trabajar
Rodrigo Angel Martin

17:00 h
Cierre del Evento y Sorteos :)

miércoles, 24 de agosto de 2016

RANSOMWARE - PARTE III - VERSIONES

Introducción

Siguiendo la serie de artículos de RANSOMWARE, ahora vamos a entrarnos en el mundo del malware y analizaremos algunas de las diferentes versiones.

Los mismos son variaciones de ransomware existentes o nuevas versiones con nuevos alcances. Si revisamos lo que vienen apaeciendo últimamente, tenemos (dentro de algunas versiones):

La idea es comentarle que hacen alguno de ellos y resumidamente algunas caracteristicas.

 

Versiones de Ransomware - Fichas técnicas

Cryptolocker
El primer gran Crypto-ransomware
Cómo infecta víctima: un archivo adjunto en un mensaje de phishing.
Pago – recupero ?: Sí, pero puede tardar 3-4 horas.  Proceso de descifrado puede dar un error, indicando que no pueden descifrar un archivo, pero continuará para descifrar los archivos.
Fecha aparición: septiembre del 2013.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: * .odt, * .ods, .odp *, * .odm, * .odc, .odb *, * .doc, * .docx, * .docm, .wps *, * .xls, *. xlsx, .xlsm *, * .xlsb, .xlk *, * .ppt, .pptx *, * .pptm, * .mdb, * .accdb, * .pst, * .dwg, * .dxf, * .dxg, * .wpd, * .rtf, * .wb2, * .mdf, * .dbf, * .psd, .pdd *, * .pdf, * .eps, .ai *, * .indd, * .cdr, *. jpg, * .jpe, * .jpg, * .dng, .3fr *, * .arw, .srf *, * .sr2, .bay *, * .crw, .cr2 *, * .dcr, * .kdc, * .erf, * .mef, * .mrw, * .nef, * .NRW, * .orf, * .raf, * .raw, * .rwl, * .rw2, * .r3d, * .ptx, *. PEF, .srw *, * .x3f, .der *, * .cer, * .crt * .pem, * .pfx, * .p12, .p7b *, * .p7c.
Algoritmo de cifrado: AES para el cifrado de archivos, RSA para el cifrado AES de llave
Herramienta de descifrado disponibles? Si.

CryptoWall 
Cómo infecta víctima: un archivo adjunto en un mensaje de correo electrónico y sitios web infectados.
Pago – recupero ?: Sí, lleva su buen tiempo recuperar la información.
Fecha aparición:fines de abril del 2014.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13,. t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, Bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid , .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .VPK, .tor, .psk,. llanta, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf, .slm , .bik, .epk, .rgss3a, .pak, .big, cartera, .wotreplay, .xxx, .desc, .py, m3U, .flv, .js, .css, .rb, .png, .jpeg , .txt, .p7c, .p7b, p.12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl,. prima, .raf, .orf, .NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd .dxg, .xf, .dwg , Pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb,. ODC, .odm, .odp, .ods, .od
Algoritmo de cifrado: RSA para el cifrado de archivos.
Herramienta de descifrado disponibles? Todavía no

OphionLocker  
Cómo infecta víctima: publicidad en línea desde una página Web que provoca que el usuario haga clic.
Pago – recupero ?: Sí, pero a veces el código que mandan no sirve.
Fecha aparición :diciembre de 2014. 
Víctimas: Todas las versiones de Windows.
Los tipos de archivos dirigidos:  * .3fr, * .accdb, .arw *, * .bay, * .cdr, *. cer, .cr2 *, * .crt * .crw, * .dbf, * .dcr, .der *, * .dng, * .doc, * .docm, * .docx, * .dwg, * .dxf, * * .dxg, .eps, .erf *, * .indd, .jpe *, * .jpg, * .kdc, * .mdb, * .mdf, .mef *, * .mp3, * .mp4, *. MRW, .nef *, * .NRW, .odb *, * .odm, .odp *, * .ods, * .odt, * .orf, p.12 *, * .p7b, .p7c *, * .pdd, * .pef, * .pem, * .pfx, * .ppt, * .pptm, * .pptx, * .psd, * .pst, * .ptx, .r3d *, * .raf, .raw *, *. rtf, .rwl *, * .srf, .srw *, * .txt, * .wb2, * .wpd * .wps, .xlk *, * .xls, * .xlsb, .xlsm *, * .xlsx 
Algoritmo de cifrado: ECC
Herramienta de descifrado disponibles?: No

CTB Locker (Curva-Tor-Bitcoin Locker)
Cómo infecta víctima: por correo electrónico, archivo adjunto.
Pago – recupero ? : Sí.  
Fecha aparición:julio de 2014
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8. 
Algoritmo de cifrado: ECC
Herramienta de descifrado disponibles?: No.

VaultCrypt
Cómo infecta víctima:  uso de archivos por lotes de Windows y el código abierto GnuPG software de privacidad para alimentar una técnica de cifrado de archivos muy eficaz.
Pago – recupero ?:  Sí, 
Fecha aparición: febrero 2015
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos:  cd, .mdb, .1cd, .dbf, .sqlite, .jpg, .zip, .7z, .psd, .dwg, .cdr, .pdf, .rtf, .xls, .doc
Algoritmo de cifrado:  pública RSA-1024 y una clave privada para cifrar los archivos
Herramienta de descifrado disponibles?: No.

TeslaCrypt / Alpha Crypt (y variantes)
Cómo infecta víctimas: correo electrónico, este inmediatamente busca unidades mapeada.
Pago – recupero ?:  Sí,
Fecha aparición :febrero 2015 / abril 2015
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos:  7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, Bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg,. hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .VPK, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile,. rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, m3U, .flv, .js, .css, .rb, .png, .jpeg, .txt , .p7c, .p7b, p.12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw,. raf, .orf, .NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd .dxg, .xf, .dwg, Pst , .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc,. oDM, .odp, .ods, .odt
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles? Si. (testladecoder.exe)

LowLevel04
Cómo infecta víctima:  ataques de fuerza bruta en las máquinas que tienen Escritorio remoto o Servicios de Terminal Server instalado y que tienen contraseñas débiles.
Pago – recupero ?: Sí,
Fecha aparición: septiembre del 2013.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos:  3fr, .dbf, .dcr, .dwg, .doc, .der, .erf, .eps, .jpg, .mp3, .mp4, .mef, .mrw, .mdf, .bay,. Pienso volver, .bkp, .bcp, .cdr, .mid, .nef, .NRW, .dat, .dxg, .dng, .pptx, .pptm, .jpe, .kdc, .mdb, .jpeg, .indd, .docx, .docm, .pfx, .raw, .rwl, .opd, .odm, .odc, .orf, .odb, .pdd, .pdf, Pst, .ppt, .rtf, .rw2, .odt , .ods, .pem, sql, .xls, .xml, .xlk, .wpd, .wav, .wb2, .wps, .x3f, .zip, .xlsb, .arw, .bmp, .cer,. CRW, .cr2, .crt, .dxf, .r3d, .srf, .sr2, .srw, p.12, .p7b, .p7c, .ptx, .pef, .png, .psd, .php, .rar, .raf, .xlsx, .xlsm, .exe, .bad, .lpa, .sys, .dll, msi, .ie5, .ie6, .ie7, .ie8, .ie9, ini, .inf, .lnk , .scr, .com, .ico, .desklink, .mapimail, .search-ms, .automaticDestinations-ms, .bkup, .database, .backup, .zip
Algoritmo de cifrado:  AES  y RSA-2048 cifrado
Herramienta de descifrado disponibles?:  No.

Quimera o Chimera
Cómo infecta víctima: Correo y sitios Web infectados. Publica información del usuario en Internet.
Pago – recupero ?: Sí,
Fecha de aparición: noviembre 2015.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos:  .jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, ini, .cdr, .svg, .conf, .cfg,. config, .wb2, msg, .azw, .AZW1, .azw3, .azw4, .lit, .apnx, .mobi, p.12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, Cs, asp, .aspx, cgi, .h, .cpp, .php, .jsp, bak, .dat, Pst , .eml, .xps, .sqllite, sql, js, jar, .py, .wpd .crt, .csv, PRF, .cnf, .indd, .Number, .pages, .lnk,. po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, Lib, .cert, p.12, .cat, .inf, .MUI, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf , .NRW, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf,. arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3 ds, .max, .obj, .a2c, .dds, .PspImage, .yuv, .zip , .rar, .gzip, vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, dress.Toast, .vcd, .ccd, .disc, nrg, .nri,. cdi, .ptx, .ape, .aif, .wav, .ram, .ra, m3U, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, Aa, .aa3, .amr, .mkv, .dvd, Mts, .qt, vob, .3ga, ts, .m4v, .rm, .srt , .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm. xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, Epub, .pdf
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles?: No.

Ransom32
Cómo infecta víctimas: correo y Tor. Escrito en JavaScript.
Pago – recupero ?: 
Fecha aparición: fines del 2015.
Víctimas: Podría afectar a cualquier S.O que use java.
Los tipos de archivos dirigidos:  jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, sql,. * SAV *, *. * SPV,. * * grle,. * mlx *, *. * SV5,. * juego *, *. * ranura, .dwg, .dxf, .c, .cpp, Cs,. h, .php, .asp, .rb, .java, .jar, .class, .aaf, .aep, .aepx, .PLB, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, Fla, .as3, .as, .txt , .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd .wps, msg, .pdf, .xls, .xlt, .xlm, .xlsx,. xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .IFF, m3U, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp , .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, vob, .m3u8, .csv, .efx, .sdf, .vcf, .xml, .ses, .dat
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles?: No.

Petya
Cómo infecta víctima: Correo electrónico apuntando a áreas de RRHH de la empresa. Una vez infectado, cifra archivos y luego disco (MBR).
Pago – recupero ?: Sí, 
Fecha aparición: abril 2016
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Algoritmo de cifrado: AES para el cifrado de archivos, RSA para el cifrado AES de llave.
Herramienta de descifrado disponibles?: Si, pero es manual y usando un linux.

KeRanger
Cómo infecta víctima:  actualización de Transmission (proyecto abierto) y muy ocasionalmente correo electrónico y Bittorrent.
Pago – recupero ?: Sí, 
Fecha aparición: mediados del 2014. 
Víctimas: Mac OS X.
Los tipos de archivos dirigidos:  doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex, JPEG, jpg, zip, .cpp, .asp, .csh, .class, .java, .lua, .db, sql, .eml, .pem.
Algoritmo de cifrado: RSA.
Herramienta de descifrado disponibles? Si.

Entre otros....

Todas las semanas aparecen nuevas versiones u otros con otros nombres, pero básicamente son mejoras o nuevos ransomware originados de las versiones que mencionamos arriba.

Vector de Infección

La idea es que no sean especialistas de versiones de ransomare, si no aprendan sobre el vector de infección y que hacen. Si leen el punto anterior, van a observar que el ransomware ingresa, en la mayoría de las veces, por

1) Correo electrónico: reciben un correo tipo spam, en donde el mismo trae un adjunto infectado, un adjunto que permite bajar el malware de internet sin que Uds lo sepan, un acceso algún sitio web que al visitarlo lo único que hace es bajar el malware o bien algun archivo de office con macros infectadas.

2) Acceso a sitios web infectados: visitar sitios web infectados por algun link que nos llega por correo o por buscar y/o bajar softwares crakeados, peliculas o musica.

Herramientas disponibles para recuperar información.
En las fichas técnicas se menciona que algunas versiones, sobre todo las mas viejas, ya poseen herramientas para recuperar archivos cifrados, lo pueden bajar desde aquí "NO MORE RANSOM"

https://www.nomoreransom.org/

Este sitio, formado por varias organizaciones, tiene como finalidad difundir conocimiento y elementos para que cada vez tengamos menos víctimas de ransomware.

En este link van a encontrar todas las versiones de Ransomware, como afecta al equipo infectado, si hay, donde pueden bajar un desencriptador e información general.

En el próximo artículo vamos a ver que medidas tener en cuenta para protegernos de los ransomware.
Hasta la próxima.


Fuentes: Kaspersky y https://blog.varonis.com
Ransomware Overview is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.