Introducción
Hasta el momento hemos analizados cuales son los vectores de infección del ransomware y analizamos los malware más clásicos.
Ahora bien, nos falta aún ver dos temas: como protegerse y como actuar si un ransomware infecta su equipo o red. En este capítulo, vamos analizar como protegerse.
Protegerse contra el ransomware - 10 buenas medidas
Enn base a lo analizado en cuanto al comportamiento de estos malware, hemos armado una lista de acciones que permitirían a Uds una infección de este tipo o al menos no perder la información. Las acciones son:
1) BACKUP o RESGUARDO DE INFORMACION: realice backups de manera periódica de su información o de su plataforma. Recuerde que el malware cifra la información que Uds tenga alojado en su dispositivo, por lo cual, si Uds posee un backup actualizado, puede recuperar esos archivos sin tener que pagar el rescate. Se recomienda usar dispositivos externos y por que no un espacio de nube tipo One Drive de Microsoft o Google Drive.
2) ANTIMALWARE: su equipo (PC, notebook, ultrabook, celular y otros) debe contar con un antivirus actualizado, sobre todo con capacidades de analizar comportamiento, ya que muchos de los antimalware no logran detectar en tiempo y forma un ransomware, pero si el mismo posee comportamientos anómalos, pueden ser frenados por el software de protección.
3) MENOS PRIVILEGIOS: usar el equipo con bajos privilegios o permisos. En el caso de que aparezca una pantalla pidiendo la elevación de permisos o usuario/contraseña con un usuario con más permisos, verifique bien que se está instalando o por que el pedido de elevación de permisos.
4) EQUIPOS ACTUALIZADOS: mantenga los productos que usa actualizados. Los fabricantes están constantemente sacando actualizaciones, donde muchas de ellas son para prevenir problemas de seguridad. Si posee poco espacio disponible para que el equipo baje y actualice, haga un backup y elimine información que no utilice regularmente, pero permita a la plataforma que se actualice. Hems observado que los usuarios no mantienen sus equipos celulares actualizados por que carecen de espacio para bajar de internet la actualización.
5) DESCONFIAR: No abra archivos adjuntos que provengan de correos electrónicos de personas que no conoce. Si algún conocido le ha enviado algún adjunto y sobre todo un archivo ZIP, RAR o compactado, verifique con el emisor si efectivamente le mando ese correo. Les recomendamos leer el articulo II de la serie donde hablamos de la desconfianza y el engaño de los intrusos para que Uds use un archivo infectado.
6) BAJAR CON SEGURIDAD: no baje música, videos o software de sitios de dudosa reputación, es allí donde los contenidos tienen un malware escondido y listo para infectar su ordenador. Están de moda los servicios Cloud a un muy bajo costo, es preferible que utilice estos servicio a que pierda toda la información en manos de un ransomware.
7) MACROS EXCEL: Evite usar archivos Excel o de ofimática con la opcion de macros. Esto son muy usados para personalizar ciertas funcionalidades o aplicar programación a las planillas, pero también se usan para enmascarar u ocultar un ransomware. Si debe usarlos, trate de que el intercambio sea solo con personas de confianza y que poseen equipos de alguna manera protegidos.
8) NO MAPEAR UNIDADES DE RED: si trabaja en un entorno colaborativo, trate de no mapear unidades de red, ya que el ransomware lo va a detectar como una unidad local y cifrará el contenido. Se recomienda usar un esquema como \\nombredelaPC\nombrerecursocompartido. Puede hacer un acceso directo en el escritorio con esta opción, por ahora no hay ransomware que detecte este tipo de configuración y no esta mapeando un disco como O:, P:, etc.
9) PROTECCIONES DE LOS S.O: todos los S.O poseen protecciones, no desactivar las mismas. Por ejemplo MS Windows, posee el UAC, en donde si Uds desea realizar alguna tarea que requiera permisos, le solicitará un usuario con privilegios. En el caso de la MAC le solicitará la contraseña y si utiliza un celular, por ejemplo ANDROID le bloqueará la instalación de paquetes que no sean de una fuente confiable (MAC posee de la misma manera este tipo de configuración). No las elimine o desactive, son medidas que van a proteger su equipo cuando se descuide.
10) NO PAGAR RESCATE: no pague el rescate. Regularmente surgen aplicaciones que permiten descrifrar los archivos que han sido cifrados por un ransomware. Es la única manera de evitar que se siga expandiendo este tipo de fraude. Por otro lado, si no hay una herramienta o software que permita recuperar esos archivos, haga un backup completo del disco, en algún momento aparecerá una aplicación que le libere los archivos secuestrados por la verisón de ransomware. Recuerde que la extension de los archivos cifrados, permite detectar la version de ransomware que lo ha afectado, por lo cual, nunca oculte la versión de los archivos, trate de configurar el S.O para que siempre se los muestre.
En el próximo capítulo, vamos a ver que debe hacer Uds si ha sido una víctima de Ransomare.
Hasta la próxima...
Este portal está diseñado con el fin de difundir conceptos de seguridad informática y seguridad de la información. Hoy en día es necesario crear conciencia de lo que es realmente la seguridad, por ello estamos intentando con este portal, dar a conocer todas las novedades y nuevas tecnologías. Todos aquellos que quieran participar, deben hacerlo respetando las normas de Netiquette.
martes, 30 de agosto de 2016
1 Hack Para Los Chicos - Final
Y pasó un evento más de 1 Hack Para Los Chicos...
Se recolectaron más de 200 lts de leche. Aquí les dejo algunas fotos....
Gracias a todos por participar...
Gracias a todos por colaborar...
Gracias IES por la tremenda logística e infraestructura...
Para aquellos que se perdieron el evento, pueden encontrar las filmaciones AQUI.- 1 Hack para los Chicos
Los esperamos en la próxima...
Se recolectaron más de 200 lts de leche. Aquí les dejo algunas fotos....
Chema x Skype.
Gracias a todos por colaborar...
Gracias IES por la tremenda logística e infraestructura...
Para aquellos que se perdieron el evento, pueden encontrar las filmaciones AQUI.- 1 Hack para los Chicos
Los esperamos en la próxima...
jueves, 25 de agosto de 2016
1 HackParaLosChicos - 2016
Mañana los esperamos en la edición 2016. Acá les dejo la agenda
INSCRIBIRSE AQUI
Agenda
09:30 h
|
Presentación 1HackParaLosChicos | |
09:40 h
|
Presentación 1 Litro de Leche por Mes Córdoba |
|
10:00 h
|
Ransomware, el secuestro virtual. Cómo me protejo? Enrique Gustavo Dutra & Carlos Garay |
|
11:00 h
|
Mitos y verdades en la investigación de la ciberdelincuencia Marcelo Temperini & Maximiliano Macedo |
|
11:50 h
|
Break | |
12:00 h
|
IoT - Internet of Tracks? Ricardo Nicolas Temperini |
|
13:00 h
|
Break / Almuerzo | |
14:00 h
|
Yo también quiero ser un hacker Gabriel Franco |
|
15:00 h
|
Seguridad y Privacidad en IPV6 Fernando Gont |
|
15:50 h
|
Break | |
16:00 h
|
Coworking, evolucionando en la forma de trabajar Rodrigo Angel Martin |
|
17:00 h
|
Cierre del Evento y Sorteos :) |
miércoles, 24 de agosto de 2016
RANSOMWARE - PARTE III - VERSIONES
Introducción
Siguiendo la serie de artículos de RANSOMWARE, ahora vamos a entrarnos en el mundo del malware y analizaremos algunas de las diferentes versiones.Los mismos son variaciones de ransomware existentes o nuevas versiones con nuevos alcances. Si revisamos lo que vienen apaeciendo últimamente, tenemos (dentro de algunas versiones):
La idea es comentarle que hacen alguno de ellos y resumidamente algunas caracteristicas.
Versiones de Ransomware - Fichas técnicas
Cryptolocker
El primer gran Crypto-ransomware
Cómo infecta víctima: un archivo adjunto en un mensaje de phishing.
Pago – recupero ?: Sí, pero puede tardar 3-4 horas. Proceso de descifrado puede dar un error, indicando que no pueden descifrar un archivo, pero continuará para descifrar los archivos.
Fecha aparición: septiembre del 2013.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: * .odt, * .ods, .odp *, * .odm, * .odc, .odb *, * .doc, * .docx, * .docm, .wps *, * .xls, *. xlsx, .xlsm *, * .xlsb, .xlk *, * .ppt, .pptx *, * .pptm, * .mdb, * .accdb, * .pst, * .dwg, * .dxf, * .dxg, * .wpd, * .rtf, * .wb2, * .mdf, * .dbf, * .psd, .pdd *, * .pdf, * .eps, .ai *, * .indd, * .cdr, *. jpg, * .jpe, * .jpg, * .dng, .3fr *, * .arw, .srf *, * .sr2, .bay *, * .crw, .cr2 *, * .dcr, * .kdc, * .erf, * .mef, * .mrw, * .nef, * .NRW, * .orf, * .raf, * .raw, * .rwl, * .rw2, * .r3d, * .ptx, *. PEF, .srw *, * .x3f, .der *, * .cer, * .crt * .pem, * .pfx, * .p12, .p7b *, * .p7c.
Algoritmo de cifrado: AES para el cifrado de archivos, RSA para el cifrado AES de llave
Herramienta de descifrado disponibles? Si.
CryptoWall
Cómo infecta víctima: un archivo adjunto en un mensaje de correo electrónico y sitios web infectados.
Pago – recupero ?: Sí, lleva su buen tiempo recuperar la información.
Fecha aparición:fines de abril del 2014.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13,. t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, Bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid , .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .VPK, .tor, .psk,. llanta, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf, .slm , .bik, .epk, .rgss3a, .pak, .big, cartera, .wotreplay, .xxx, .desc, .py, m3U, .flv, .js, .css, .rb, .png, .jpeg , .txt, .p7c, .p7b, p.12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl,. prima, .raf, .orf, .NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd .dxg, .xf, .dwg , Pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb,. ODC, .odm, .odp, .ods, .od
Algoritmo de cifrado: RSA para el cifrado de archivos.
Herramienta de descifrado disponibles? Todavía no
OphionLocker
Cómo infecta víctima: publicidad en línea desde una página Web que provoca que el usuario haga clic.
Pago – recupero ?: Sí, pero a veces el código que mandan no sirve.
Fecha aparición :diciembre de 2014.
Víctimas: Todas las versiones de Windows.
Los tipos de archivos dirigidos: * .3fr, * .accdb, .arw *, * .bay, * .cdr, *. cer, .cr2 *, * .crt * .crw, * .dbf, * .dcr, .der *, * .dng, * .doc, * .docm, * .docx, * .dwg, * .dxf, * * .dxg, .eps, .erf *, * .indd, .jpe *, * .jpg, * .kdc, * .mdb, * .mdf, .mef *, * .mp3, * .mp4, *. MRW, .nef *, * .NRW, .odb *, * .odm, .odp *, * .ods, * .odt, * .orf, p.12 *, * .p7b, .p7c *, * .pdd, * .pef, * .pem, * .pfx, * .ppt, * .pptm, * .pptx, * .psd, * .pst, * .ptx, .r3d *, * .raf, .raw *, *. rtf, .rwl *, * .srf, .srw *, * .txt, * .wb2, * .wpd * .wps, .xlk *, * .xls, * .xlsb, .xlsm *, * .xlsx
Algoritmo de cifrado: ECC
Herramienta de descifrado disponibles?: No
CTB Locker (Curva-Tor-Bitcoin Locker)
Cómo infecta víctima: por correo electrónico, archivo adjunto.
Cómo infecta víctima: por correo electrónico, archivo adjunto.
Pago – recupero ? : Sí.
Fecha aparición:julio de 2014
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Algoritmo de cifrado: ECC
Herramienta de descifrado disponibles?: No.
VaultCrypt
Cómo infecta víctima: uso de archivos por lotes de Windows y el código abierto GnuPG software de privacidad para alimentar una técnica de cifrado de archivos muy eficaz.
Cómo infecta víctima: uso de archivos por lotes de Windows y el código abierto GnuPG software de privacidad para alimentar una técnica de cifrado de archivos muy eficaz.
Pago – recupero ?: Sí,
Fecha aparición: febrero 2015
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: cd, .mdb, .1cd, .dbf, .sqlite, .jpg, .zip, .7z, .psd, .dwg, .cdr, .pdf, .rtf, .xls, .doc
Los tipos de archivos dirigidos: cd, .mdb, .1cd, .dbf, .sqlite, .jpg, .zip, .7z, .psd, .dwg, .cdr, .pdf, .rtf, .xls, .doc
Algoritmo de cifrado: pública RSA-1024 y una clave privada para cifrar los archivos
Herramienta de descifrado disponibles?: No.
Herramienta de descifrado disponibles?: No.
TeslaCrypt / Alpha Crypt (y variantes)
Cómo infecta víctimas: correo electrónico, este inmediatamente busca unidades mapeada.
Pago – recupero ?: Sí,
Fecha aparición :febrero 2015 / abril 2015
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: 7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, Bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg,. hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .VPK, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile,. rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, m3U, .flv, .js, .css, .rb, .png, .jpeg, .txt , .p7c, .p7b, p.12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw,. raf, .orf, .NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd .dxg, .xf, .dwg, Pst , .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc,. oDM, .odp, .ods, .odt
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles? Si. (testladecoder.exe)
Cómo infecta víctimas: correo electrónico, este inmediatamente busca unidades mapeada.
Pago – recupero ?: Sí,
Fecha aparición :febrero 2015 / abril 2015
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: 7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sc2save, .sie, .sum, .ibank, .t13, .t12, .qdf , .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, Bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg,. hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mcgame, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .001, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .VPK, .tor, .psk, .rim, .w3x , .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .DayZProfile,. rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, APK, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, .unity3d, .wotreplay, .xxx, .desc, .py, m3U, .flv, .js, .css, .rb, .png, .jpeg, .txt , .p7c, .p7b, p.12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw,. raf, .orf, .NRW, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbfv, .mdf, .wb2, .rtf, .wpd .dxg, .xf, .dwg, Pst , .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc,. oDM, .odp, .ods, .odt
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles? Si. (testladecoder.exe)
LowLevel04
Cómo infecta víctima: ataques de fuerza bruta en las máquinas que tienen Escritorio remoto o Servicios de Terminal Server instalado y que tienen contraseñas débiles.
Pago – recupero ?: Sí,
Fecha aparición: septiembre del 2013.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: 3fr, .dbf, .dcr, .dwg, .doc, .der, .erf, .eps, .jpg, .mp3, .mp4, .mef, .mrw, .mdf, .bay,. Pienso volver, .bkp, .bcp, .cdr, .mid, .nef, .NRW, .dat, .dxg, .dng, .pptx, .pptm, .jpe, .kdc, .mdb, .jpeg, .indd, .docx, .docm, .pfx, .raw, .rwl, .opd, .odm, .odc, .orf, .odb, .pdd, .pdf, Pst, .ppt, .rtf, .rw2, .odt , .ods, .pem, sql, .xls, .xml, .xlk, .wpd, .wav, .wb2, .wps, .x3f, .zip, .xlsb, .arw, .bmp, .cer,. CRW, .cr2, .crt, .dxf, .r3d, .srf, .sr2, .srw, p.12, .p7b, .p7c, .ptx, .pef, .png, .psd, .php, .rar, .raf, .xlsx, .xlsm, .exe, .bad, .lpa, .sys, .dll, msi, .ie5, .ie6, .ie7, .ie8, .ie9, ini, .inf, .lnk , .scr, .com, .ico, .desklink, .mapimail, .search-ms, .automaticDestinations-ms, .bkup, .database, .backup, .zip
Algoritmo de cifrado: AES y RSA-2048 cifrado
Herramienta de descifrado disponibles?: No.
Quimera o Chimera
Cómo infecta víctima: Correo y sitios Web infectados. Publica información del usuario en Internet.
Pago – recupero ?: Sí,
Fecha de aparición: noviembre 2015.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: .jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, ini, .cdr, .svg, .conf, .cfg,. config, .wb2, msg, .azw, .AZW1, .azw3, .azw4, .lit, .apnx, .mobi, p.12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, Cs, asp, .aspx, cgi, .h, .cpp, .php, .jsp, bak, .dat, Pst , .eml, .xps, .sqllite, sql, js, jar, .py, .wpd .crt, .csv, PRF, .cnf, .indd, .Number, .pages, .lnk,. po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, Lib, .cert, p.12, .cat, .inf, .MUI, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf , .NRW, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf,. arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3 ds, .max, .obj, .a2c, .dds, .PspImage, .yuv, .zip , .rar, .gzip, vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, dress.Toast, .vcd, .ccd, .disc, nrg, .nri,. cdi, .ptx, .ape, .aif, .wav, .ram, .ra, m3U, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, Aa, .aa3, .amr, .mkv, .dvd, Mts, .qt, vob, .3ga, ts, .m4v, .rm, .srt , .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm. xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, Epub, .pdf
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles?: No.
Cómo infecta víctima: Correo y sitios Web infectados. Publica información del usuario en Internet.
Pago – recupero ?: Sí,
Fecha de aparición: noviembre 2015.
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Los tipos de archivos dirigidos: .jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, ini, .cdr, .svg, .conf, .cfg,. config, .wb2, msg, .azw, .AZW1, .azw3, .azw4, .lit, .apnx, .mobi, p.12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, Cs, asp, .aspx, cgi, .h, .cpp, .php, .jsp, bak, .dat, Pst , .eml, .xps, .sqllite, sql, js, jar, .py, .wpd .crt, .csv, PRF, .cnf, .indd, .Number, .pages, .lnk,. po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, Lib, .cert, p.12, .cat, .inf, .MUI, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf , .NRW, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf,. arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3 ds, .max, .obj, .a2c, .dds, .PspImage, .yuv, .zip , .rar, .gzip, vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, dress.Toast, .vcd, .ccd, .disc, nrg, .nri,. cdi, .ptx, .ape, .aif, .wav, .ram, .ra, m3U, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, Aa, .aa3, .amr, .mkv, .dvd, Mts, .qt, vob, .3ga, ts, .m4v, .rm, .srt , .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm. xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, Epub, .pdf
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles?: No.
Ransom32
Cómo infecta víctimas: correo y Tor. Escrito en JavaScript.
Pago – recupero ?: Sí
Fecha aparición: fines del 2015.
Víctimas: Podría afectar a cualquier S.O que use java.
Los tipos de archivos dirigidos: jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, sql,. * SAV *, *. * SPV,. * * grle,. * mlx *, *. * SV5,. * juego *, *. * ranura, .dwg, .dxf, .c, .cpp, Cs,. h, .php, .asp, .rb, .java, .jar, .class, .aaf, .aep, .aepx, .PLB, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, Fla, .as3, .as, .txt , .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd .wps, msg, .pdf, .xls, .xlt, .xlm, .xlsx,. xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .IFF, m3U, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp , .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, vob, .m3u8, .csv, .efx, .sdf, .vcf, .xml, .ses, .dat
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles?: No.
Cómo infecta víctimas: correo y Tor. Escrito en JavaScript.
Pago – recupero ?: Sí
Fecha aparición: fines del 2015.
Víctimas: Podría afectar a cualquier S.O que use java.
Los tipos de archivos dirigidos: jpg, .jpeg, .raw, .tif, .gif, .png, .bmp, .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, sql,. * SAV *, *. * SPV,. * * grle,. * mlx *, *. * SV5,. * juego *, *. * ranura, .dwg, .dxf, .c, .cpp, Cs,. h, .php, .asp, .rb, .java, .jar, .class, .aaf, .aep, .aepx, .PLB, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, Fla, .as3, .as, .txt , .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd .wps, msg, .pdf, .xls, .xlt, .xlm, .xlsx,. xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .IFF, m3U, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp , .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, vob, .m3u8, .csv, .efx, .sdf, .vcf, .xml, .ses, .dat
Algoritmo de cifrado: AES
Herramienta de descifrado disponibles?: No.
Petya
Cómo infecta víctima: Correo electrónico apuntando a áreas de RRHH de la empresa. Una vez infectado, cifra archivos y luego disco (MBR).
Cómo infecta víctima: Correo electrónico apuntando a áreas de RRHH de la empresa. Una vez infectado, cifra archivos y luego disco (MBR).
Pago – recupero ?: Sí,
Fecha aparición: abril 2016
Víctimas: Todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8.
Algoritmo de cifrado: AES para el cifrado de archivos, RSA para el cifrado AES de llave.
Herramienta de descifrado disponibles?: Si, pero es manual y usando un linux.
KeRanger
Cómo infecta víctima: actualización de Transmission (proyecto abierto) y muy ocasionalmente correo electrónico y Bittorrent.
Pago – recupero ?: Sí,
Cómo infecta víctima: actualización de Transmission (proyecto abierto) y muy ocasionalmente correo electrónico y Bittorrent.
Pago – recupero ?: Sí,
Fecha aparición: mediados del 2014.
Víctimas: Mac OS X.
Los tipos de archivos dirigidos: doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex, JPEG, jpg, zip, .cpp, .asp, .csh, .class, .java, .lua, .db, sql, .eml, .pem.
Algoritmo de cifrado: RSA.
Herramienta de descifrado disponibles? Si.
Entre otros....
Todas las semanas aparecen nuevas versiones u otros con otros nombres, pero básicamente son mejoras o nuevos ransomware originados de las versiones que mencionamos arriba.
Vector de Infección
La idea es que no sean especialistas de versiones de ransomare, si no aprendan sobre el vector de infección y que hacen. Si leen el punto anterior, van a observar que el ransomware ingresa, en la mayoría de las veces, por
1) Correo electrónico: reciben un correo tipo spam, en donde el mismo trae un adjunto infectado, un adjunto que permite bajar el malware de internet sin que Uds lo sepan, un acceso algún sitio web que al visitarlo lo único que hace es bajar el malware o bien algun archivo de office con macros infectadas.
2) Acceso a sitios web infectados: visitar sitios web infectados por algun link que nos llega por correo o por buscar y/o bajar softwares crakeados, peliculas o musica.
Herramientas disponibles para recuperar información.
En las fichas técnicas se menciona que algunas versiones, sobre todo las mas viejas, ya poseen herramientas para recuperar archivos cifrados, lo pueden bajar desde aquí "NO MORE RANSOM"
https://www.nomoreransom.org/
Este sitio, formado por varias organizaciones, tiene como finalidad difundir conocimiento y elementos para que cada vez tengamos menos víctimas de ransomware.
En este link van a encontrar todas las versiones de Ransomware, como afecta al equipo infectado, si hay, donde pueden bajar un desencriptador e información general.
En el próximo artículo vamos a ver que medidas tener en cuenta para protegernos de los ransomware.
Hasta la próxima.
Fuentes: Kaspersky y https://blog.varonis.com
Ransomware Overview is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
Ransomware Overview is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
Suscribirse a:
Entradas (Atom)