Básicamente, los ransomware se dedican a cifrar los ficheros o partes del sistema objetivos para luego pedir un rescate para revertir sus efectos, un rescate que se suele exigir pagar en bitcoins y a través de la red Tor. En la actualidad no existen métodos genéricos para combatir este tipo de malware, por lo que cada ransomware tiene su propia forma de ser eliminado o revertido en caso de haber alguna solución alternativa al pago, porque en muchas ocasiones no la hay. En caso de no haber ninguna solución alternativa al pago, lo mejor es formatear el disco duro y reinstalar el sistema. Pagar es otra opción, pero no la más recomendable al menos que haya datos realmente valiosos que tienen que ser salvados sí o sí, como la contabilidad de una empresa, aunque antes de llegar a este extremo sería mejor tomar ciertas precauciones.

A día hoy los ransomware pueden infectar por igual cualquiera de los sistemas operativos más conocidos del mercado, dando igual si hablamos de Windows, Android, OS X, Linux e iOS, aunque los dos primeros suelen ser los más afectados por su clara mayor cantidad de usuarios frente al resto. Sin embargo, el mercado de sistemas operativos se ha abierto y en consecuencia estamos viendo una presencia cada vez mayor de las tecnologías multiplataforma. El malware no iba a quedarse atrás en este sentido y ya tenemos un ransomware tan peculiar como Ransom32, que al basarse en JavaScript y ser tratado como un “ransomware como servicio” puede infectar a Windows, Mac y Linux, aunque en su momento solo se conoció una implementación para el primero.

Ransom32.jpg

No podemos dejar de lado a otros ransomware como Angler Exploit Kit, CyrptoWall y el mediático Cryptolocker, del cual han surgido muchos derivados.

Combatir los malware de este tipo “cara a cara” no es una opción viable, por lo que de momento lo mejor que se puede hacer es prevenir para minimizar al máximo los daños en caso de quedar infectado. En la siguiente lista podrás ver las mejores medidas que pueden tomar en orden de prioridad para minimizar los daños y riesgos:

  1. Realizar y mantener copias e seguridad periódicas de todos los datos importantes: Es una idea en la cual hemos insistido bastante. Realizar copias de seguridad de los datos importantes es la primera y más efectiva medida para minimizar los daños en caso de ser infectado. Además se recomienda mantener las copias de seguridad aisladas y sin conexión con otros sistemas para evitar la infección de los datos a través de otros equipos.
  2. Mantener el sistema actualizado con los últimos parches de seguridad, abarcando todo el software que haya instalado en el ordenador. En los boletines de seguridad de Microsoft se puede ver cómo las actualizaciones corrigen muchos problemas de seguridad.
  3. Mantener una primera línea de defensa a través de algún antimalware (coloquialmente conocidos también como antivirus) y tener el firewall/cortafuegos correctamente configurado para permitir el acceso solo las aplicaciones y servicios necesarios.
  4. Disponer de un filtro antispam a nivel del correo electrónico para evitar la infección a través de campañas masivas de emails. Petya es un ransomware cuyo principal canal de distribución es el correo electrónico.
  5. Establecer políticas de seguridad en el sistema para impedir la ejecución de directorios comúnmente utilizados por el ransomware (App Data, Local App Data, etc). Existen herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit que facilitan esta tarea.
  6. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código malicioso y el servidor de mando y control.
  7. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar los exploits, incluyendo los 0-days.
  8. No utilizar cuentas con privilegios de administrador: Como ya informamos con anterioridad, el 86% de las amenazas contra Windows se pueden esquivar en caso de utilizar un usuario común en lugar de un administrador. Por eso es importante utilizar para tareas comunes un usuario común y solo dejar el administrador para cuando se vaya a hacer una serie de tareas relacionadas con la manipulación del sistema.
  9. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en toda las unidades de red mapeadas en el equipo de la víctima. Restringir los privilegios de escritura en red mitigará parcialmente el impacto.
  10. Utilizar bloqueadores de JavaScript para el navegador: Aplicaciones como Privacy Manager bloquean la ejecución de todo código JavaScript sospechoso de poder dañar el equipo del usuario. Esto ayuda a minimizar la posibilidades de quedar infectado a través de la navegación web.
  11. Mostrar las extensiones para tipos de ficheros conocidos: Esta es una buena práctica para identificar los posibles ficheros ejecutables que quieran hacerse pasar por otro tipo de fichero. No es raro ver a un fichero .exe con el icono de un documento de Word. Si no se ve la extensión, el usuario posiblemente no pueda distinguir si es un documento de Word o un ejecutable malicioso, aunque también es bueno recordar que un documento de Microsoft Office también puede contener malware.
  12. Se recomienda la instalación de la herramienta Anti Ransom, que tratará de bloquear el proceso de cifrado de un ransomware (monitorizando “honey files”). Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.
  13. Emplear máquinas virtuales para aislar el sistema principal: Debido a las técnicas anti-debug y anti-virtualización comúnmente presentes en los ransomware, se ha demostrado que un entorno virtualizado su acción no llega a materializarse. En MuySeguridad ya hemos empleado máquinas virtuales para tratar con el software inútil presente en los antimalware gratuitos, por lo que si se trabaja en un entorno de riesgo, lo suyo sería hacerlo desde una máquina virtual que no tenga conexión con la máquina anfitriona.

La prevención es la única medida de defensa fiable

La mayoría de los consejos puestos aquí van dirigidos sobre todo a los usuarios de Windows, sin embargo, eso no quiere decir que los usuarios de sistemas como Mac OS X, LinuxAndroid e iOS no tengan que tomar medidas para evitar daños, sobre todo a lo que se refiere a realizar copias de seguridad que estén debidamente aisladas.

Lo suyo es hacer con relativa frecuencia una copia de al menos los datos importantes en un disco duro externo o bien un disco óptico de gran capacidad, como un DVD o Blu Ray (se puede emplear ambos métodos y así tener dos copias en lugar de una). Esto ayudará a minimizar los daños producidos por un ransomware en caso de ser infectado.

Los usuarios de escritorio Linux tienden a confiar demasiado en la seguridad de su sistema, y aunque es cierto que para dañar al los ficheros del sistema se requiere de privilegios de administrador, si el malware es una aplicación portable puede terminar dañando los datos alojados en la misma carpeta del usuario.

En resumidas cuentas, nadie se libra de tener que tomar precauciones, utilice el sistema que utilice.

 

Fuente: muyseguridad