Entradas Mensuales
-
►
2019
(Total:
96
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
232
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
abril
(Total:
42
)
-
Resumen Reporte de Kaspersky sobre ataques DDoS Q1...
-
La actualización de Windows 10 interrumpe en direc...
-
7 millones de cuentas hackeadas de la comunidad Li...
-
Hackeada la base de datos del Banco Nacional de Qa...
-
Las ventas del iPhone caen por primera vez en su h...
-
Disponible para la venta el nuevo Meizu Pro 5 Ubun...
-
La mitad de los adultos británicos no saben distin...
-
Mitigación de ataques DDoS Syn Flood con iptables-...
-
Error de configuración en MongoDB expone los regis...
-
Huawei confirma dos versiones del P9 Lite, fecha d...
-
GoAccess es un analizador en tiempo real del log d...
-
PenQ: navegador basado en Mozilla Firefox para rea...
-
El creador ruso del Exploit Kit Blackhole condenad...
-
Microsoft alerta de e-mails con adjuntos malicioso...
-
Google presenta Informe anual de Seguridad en Andr...
-
Hacker imprime cartel Neo-Nazi a impresoras abiert...
-
La policía de Canadá espió más de un millón de men...
-
Jornadas X1RedMasSegura 4ª Edición 20 y 21 de Mayo...
-
Phineas Fisher explica cómo hackeó a Hacking Team
-
La 2 estrena hoy sábado el programa sobre ciberseg...
-
EastMadH4ck arranca en Arganda (sureste de Madrid)...
-
Etiopía propone cinco años de prisión a quien mand...
-
Departamento de Seguridad de Estados Unidos pide a...
-
Un hombre borra todos los datos de su empresa al h...
-
Presentados los nuevos terminales Meizu Pro 6 y HT...
-
Jigsaw, el ransomware que va borrando a tus archiv...
-
Google Chrome versión 50 deja sin soporte a Window...
-
Cómo evitar que un ransomware cifre los ficheros e...
-
Desarolladores de Google crean una API para accede...
-
Zerodium, el traficante de exploits que compra vul...
-
Tres ejemplos de incidentes reales de acoso utiliz...
-
Un fallo informático permite ver el borrador de la...
-
La historia detrás de la creación de WhatsApp
-
Diferencias velocidad y clases tarjetas de memoria...
-
WhatsApp activa el cifrado de extremo a extremo
-
Nueva oleada del virus Crypt0l0cker con aviso de C...
-
Un padre suplica a Apple para que desbloquee el iP...
-
Los enfrentamientos por el peering llegan al IPv6
-
Módulo Anti-DDoS para servidor web Nginx
-
Herramientas automatizadas para ataques SQL inject...
-
Gestión de librerías compartidas en GNU/Linux
-
Un alumno robó datos de 16.000 personas de la Univ...
-
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
186
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )

Blogroll
- BlackPloit
- D'Oh!
- Driverlandia
- El blog del Maligno
- SecurityByDefault
- Tienda Wifi
- Un Tal 4n0nym0us En El PC
- WHK Security
- aodbc
- karmany.net
- Incibe
- La Mirada del Replicante
- Flu Project
- Security At Work
- We Live Security en Español
- Blog Segu-Info
- AlfaExploit
- HackPlayers
- TheHackerWay
- CyberHades
- La9deAnon
- Redes Zone
- Snifer@L4b's

Etiquetas
noticias
(
516
)
seguridad
(
281
)
software
(
173
)
privacidad
(
158
)
android
(
122
)
google
(
114
)
vulnerabilidad
(
113
)
Malware
(
102
)
hardware
(
90
)
Windows
(
89
)
tutorial
(
83
)
linux
(
72
)
manual
(
67
)
cve
(
57
)
hacking
(
57
)
ransomware
(
52
)
herramientas
(
51
)
ddos
(
49
)
Wifi
(
47
)
sysadmin
(
42
)
cifrado
(
38
)
WhatsApp
(
33
)
app
(
30
)
eventos
(
30
)
adobe
(
26
)
flash
(
25
)
contraseñas
(
24
)
cms
(
21
)
nvidia
(
20
)
office
(
20
)
Networking
(
19
)
programación
(
19
)
firefox
(
18
)
firmware
(
18
)
twitter
(
18
)
antivirus
(
17
)
SeguridadWireless
(
15
)
anonymous
(
15
)
MAC
(
14
)
conferencia
(
14
)
documental
(
14
)
exploit
(
14
)
hack
(
14
)
multimedia
(
14
)
ssl
(
14
)
youtube
(
14
)
javascript
(
13
)
juegos
(
13
)
técnicas hacking
(
13
)
apache
(
12
)
lizard squad
(
12
)
Forense
(
11
)
auditoría
(
11
)
delitos
(
11
)
Debugger
(
9
)
adamo
(
9
)
ssd
(
9
)
Kernel
(
8
)
Virtualización
(
8
)
metasploit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
Rootkit
(
6
)
antimalware
(
5
)
oclHashcat
(
5
)
reversing
(
5
)

Entradas populares
-
Los datos de los cerca de 63.000 usuarios de Bicimad (El Servicio público de alquiler de bicicletas de Madrid) quedaron al descubierto el ...
-
Google ha accedido y accede a los historiales médicos de millones de ciudadanos en Estados Unidos a través de un acuerdo con Ascension, una...
-
La BIOS está siendo reemplazada por UEFI (EFI), mucho más amigable y gráficamente superior.¿Tendré problemas para instalar Windows y Linux...

Cómo evitar que un ransomware cifre los ficheros en Windows
miércoles, 13 de abril de 2016
|
Publicado por
el-brujo
|
Editar entrada
El ransomware es un tipo de malware que emplea cifrado asimétrico para secuestrar
la información de la víctima y solicitar un rescate. El cifrado
asimétrico (clave pública) es una técnica criptográfica en la que se
utilizan un par de claves para cifrar y descifrar un archivo. El delincuente
genera de manera exclusiva el par de claves pública-privada para la
víctima y almacena la clave privada para descifrar los archivos en su
servidor. La víctima solamente podrá acceder a la clave privada tras el
pago de un rescate al agresor, aunque tal y como se ha podido comprobar
en campañas recientes de ransomware, esto no siempre sucede así. Sin
acceso a la clave privada, resulta prácticamente imposible descifrar los
archivos por los que se exige un rescate.
La mayoría de las campañas de ransomware empiezan por un mensaje de correo electrónico de phishing. Con el paso del tiempo, han ganado en sofisticación, y ahora muchas están específica y meticulosamente diseñadas en el idioma local de las víctimas a las que van dirigidas.
Ejemplos:
Pero además al entrar a la supuesta página de Correos veremos en la barra de direcciones del navegador como el dominio no tiene nada que ver con Correos.es aunque en el e-mail y la página web aparezcan los logos de correos. Es un claro ejemplo de phishing (suplantación de identidad). Ya está bien de tomar el pelo a personas con menos conocimientos informáticos que no saben diferenciar entre una página real y una falsa.
Simplemente mira si aparece la palabra correos.es en la barra de direcciones del navegador.
¿Estas seguro del nombre de dominio? Estar seguro de que entran en el dominio correcto verificando el nombre de dominio. Muchas veces los atacantes utilizan nombres similares, que difieren en una letra y lo hacen esperando un error de escritura del usuario, como por ejemplo escribir Facebok en lugar de Facebook o bien utilizan subdominios muy largos.
Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.
Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos
Antes: .pdf
Ahora mostrará: .pdf.exe
CryptoLocker no es detectado por ningún antivirus (técnicamente no es un virus).
Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.
Desmarcar --> Ocultar las extensiones de archivo para tipos de archivo conocidos
Antes: .pdf
Ahora mostrará: .pdf.exe
Ejemplos:
Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento
Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.
Windows Script Host (WSH) se usa para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.
Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.
Se puede ditar el registro de Windows para desactivar WSH.
Aquí está la clave (carpeta).
Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".
Y después, si hace clic en un archivo .js, se verá esto:
O ejecutar el script nombre.bat
Se pueden utilizar los grupos de Windows o el editor de directivas locales para crear directivas de restricción de software que bloquean los ejecutables que se inician cuando se encuentran en rutas específicas. Para obtener más información sobre cómo configurar directivas de restricción de software.
Las rutas de los archivos que han sido utilizados por esta infección son:
Con el fin de bloquear CryptoLocker podemos crear reglas para las rutas en las que no se permite la ejecución de archivos. Para crear estas directivas de restricción de software, añadiendo las políticas de forma manual usando el editor de directivas de seguridad local o el editor de directivas de grupo.
Nota: Si estás utilizando Windows Home o Windows Home Premium, no tendrás disponible el editor de directivas de seguridad local.
Con el fin de crear manualmente las directivas de restricción de software necesitas usar Windows Professional, Bussiness, Enterprise o Ultimate, o Windows Server. Si quieres establecer estas políticas para un determinado equipo puedes usar el editor de directivas de seguridad local. Si vas a aplicar estas políticas para todo un dominio, entonces necesitas utilizar el editor de directivas de grupo.
Para abrir el editor de directivas de seguridad local, haz click en el botón Inicio y escribe “Directiva de seguridad local”, para después seleccionar el resultado de la búsqueda que aparece. Para abrir el editor de directivas de grupo, escribe “Directiva de grupo” en su lugar. En esta guía veremos el editor de directivas de seguridad local en los ejemplos.
Una vez la pantalla está abierta, expande Configuración de seguridad y, a continuación haz clic en la sección de directivas de restricción de Software. Si no ves nada en el panel de la derecha (como se muestra arriba), tendrás que añadir una nueva política. Para ello haz clic en el botón Acción y selecciona Nuevas políticas de restricción de Software. Esto habilitará la directiva para que aparezca el panel de la derecha. Después, debes hacer clic en la categoría Reglas adicionales, e ir al panel derecho, donde seleccionaremos Nueva regla de ruta… A continuación, agregamos una regla de ruta para cada uno de los elementos enumerados a continuación.
Si las directivas de restricción de software causan problemas al intentar ejecutar aplicaciones legítimas, mira esta sección sobre cómo habilitar aplicaciones específicas.
A continuación se presentan algunas reglas de ruta que se sugieren, no solo para bloquear las infecciones sin más, si no también para bloquear los archivos adjuntos que se ejecuten al abrir un cliente de correo electrónico.
Windows Defender va a monitorizar los cambios que cualquier aplicación intente realizar en tus carpetas protegidas.
Presiona el botón de inicio, escribe "Centro de seguridad" y elige el primer resultado.
Luego, en la ventana del Centro de Seguridad de Windows Defender haz click en Protección antivirus y contra amenazas, es decir, el icono en forma de escudo a la izquierda.
Lo siguiente es hacer click en la opción Configuración de antivirus y protección contra amenazas.
Haz scroll hasta encontrar la opción Controla el acceso a la carpeta y marca la casilla Activado. Esto mostrará una ventana de confirmación para que des permiso a Windows Defender a cambiar la configuración. Dile que sí y listo.
A partir de ahora, si una app intenta cambiar tus archivos protegidos, la app se pondrá en una lista negra y Windows te informará. Por defecto, las carpetas protegidas son: Documentos, Imágenes, Vídeos, Música, Escritorio y Favoritos. También puedes añadir más.
Vamos a implementar una solución basada en el Administrador de recursos del servidor de archivos (File Server Resource Manager), conjunto de herramientas que permite administrar la cantidad y el tipo de datos almacenados en los servidores. Esta opción está disponible de manera gratuita en Windows Server 2012, añadiendo simplemente las características correspondientes dentro del servidor de ficheros.
El Administrador de recursos del servidor de archivos es un conjunto de herramientas de Windows Server® 2008 que permite a los administradores entender, controlar y administrar la cantidad y el tipo de datos almacenados en los servidores. Los administradores pueden utilizarlo para asignar cuotas a carpetas y volúmenes, realizar un filtrado activo de los archivos y generar informes de almacenamiento exhaustivos. Este conjunto de instrumentos avanzados no sólo permite al administrador supervisar los recursos de almacenamiento existentes, sino que además le ayuda a planear e implementar futuros cambios de directivas.
En el nodo Administración del filtrado de archivos del complemento MMC del Administrador de recursos del servidor de archivos, puede realizar las siguientes tareas:
El siguiente paso es crear una plantilla de actuación, en la que definiremos el comportamiento deseado ante la detección de un fichero con la extensión mencionada:
Una de las opciones básicas es configurar un mensaje y cuenta de correo para notificar el incidente:
Podemos utilizar GPOs para fortificar la configuración e intentar evitar la ejecución de Cryptolockers.
Para ello, utilizaremos las Software Restriction Policies (SRP).
Encontraremos la posibilidad de configurar directivas SRP como GPOs de equipo o usuario:
Podemos configurar GPOs SRP que bloqueen extensiones en rutas. Una GPO SRP de bloqueo de rutas, el bloqueo se efectuará independientemente de los permisos NTFS asignados en la ruta.
Deberemos personalizar la GPO con las exclusiones necesarias según nuestro entorno: aplicaciones instaladas, sistema operativo, descompresor utilizado, etc
Vista completa de la GPO SRP texto: User Configuration (Enabled) > Policies > Windows Settings > Security > Settings > Software Restriction Policies
Enforcement
Apply software restriction policies to the following: All software files except libraries (such as DLLs)
Apply software restriction policies to the following users: All users
When applying software restriction policies: Ignore certificate rules
Designated File Types
Trusted publisher management: Allow all administrators and users to manage user's own Trusted Publishers
Certificate verification: None
Software Restriction Policies/Security Level
Default Security Level: Unrestricted
Software Restriction Policies/Additional Rules
Path Rules
Disallowed:
Unrestricted:
SINOPSIS
REQUIREMENTOS
Ejecutar este script (secuencia de comandos) como administrador para controlar los ordenadores y los usuarios del dominio de forma remota.
INSTALACIÓN
--install
Establece la ruta a la carpeta a supervisar, ruta y el nombre de los registros de almacenamiento de correo electrónico y de la adminsitrator para alertar de un riesgo.
¡¡¡IMPORTANTE!!! la carpeta Anti_malware_config debe estar en c \ en el servidor de archivos
--monitor
Inicia la supervisión de las carpetas ... iniciar el juego !!!
--configure
Vuelva a configurar la ruta de carpetas para monitorear y almacenamiento de los registros, dirección de correo electrónico
--path
Muestra por consola los archivos de configuración para comprobar.
-logs
Muestra por de consola el archivo de registro.
Fuentes:
https://josecarlosnietoramos.wordpress.com/2015/01/30/como-evitar-que-el-ordenador-se-infecte-con-cryptolocker/
http://www.welivesecurity.com/la-es/2016/04/12/evitar-ransomware-cifre-servidor-de-ficheros-w2012/
http://www.hackplayers.com/2016/04/de-como-protegerse-contra-cryptolocker-2.html
http://www.sysadmit.com/2015/04/windows-gpo-para-prevenir-cryptolocker.html
Evita el secuestro de tus datos
La mayoría de las campañas de ransomware empiezan por un mensaje de correo electrónico de phishing. Con el paso del tiempo, han ganado en sofisticación, y ahora muchas están específica y meticulosamente diseñadas en el idioma local de las víctimas a las que van dirigidas.
Ejemplos:
- AusPost y Office of State Revenue (Australia)
- Royal Mail (Inglaterra)
- DHL (Austria y Alemania)
- Česká pošta (República Checa)
- TTTNet ( Turquía)
- SDA (Italia)
- Correos (España)
CryptoLocker, TorrentLocker, CryptoWall, CTB-Locker, ZeroLocker, TeslaCrypt, el sentido común es nuestro amigo. Correos no suele enviar email para avisarnos de la llegada de una carta certificada, suele ser el cartero quien nos deja un aviso en el buzón de nuestra casa. Si encontramos más de dos faltas gramaticales claras deberíamos empezar a sospechar.
Pero además al entrar a la supuesta página de Correos veremos en la barra de direcciones del navegador como el dominio no tiene nada que ver con Correos.es aunque en el e-mail y la página web aparezcan los logos de correos. Es un claro ejemplo de phishing (suplantación de identidad). Ya está bien de tomar el pelo a personas con menos conocimientos informáticos que no saben diferenciar entre una página real y una falsa.
Simplemente mira si aparece la palabra correos.es en la barra de direcciones del navegador.
¿Estas seguro del nombre de dominio? Estar seguro de que entran en el dominio correcto verificando el nombre de dominio. Muchas veces los atacantes utilizan nombres similares, que difieren en una letra y lo hacen esperando un error de escritura del usuario, como por ejemplo escribir Facebok en lugar de Facebook o bien utilizan subdominios muy largos.
El 97% de los usuarios no es capaz de identificar un Phishing
Listado actualizado de Ransomware con sus extensiones , tipo de cifrado y herramienta de descifrado (si la hay)
Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.
-
Para abrir Opciones de carpeta, haga clic en el botón Inicio
, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
-
Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
-
Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
-
Antes: .pdf
Ahora mostrará: .pdf.exe
CryptoLocker no es detectado por ningún antivirus (técnicamente no es un virus).
- Encontrar archivos borrados en: Google Drive, Dropbox, Onedrive
- Recuperar versiones anteriores o antiguas en: Google Drive, Dropbox (o usar script en Python dropbox-restore), Onedrive
¿Cómo evitar o prevenir infección con CryptoWall o CryptoLocker?
- Herramientas específicas Anti-ransomware (ver abajo)
- Editor de directivas locales y de grupo (Group Policy Object, GPO)
- Usando el dministrador de recursos del servidor de archivo en Windows 2012
- Desactivar Windows Script Host
Herramientas específicas de protección (Anti-Ransom)
- Anti-Ransomware de Malwarebytes (Basado en CryptoMonitor)
- HitmanPro
- CryptoPrevent (Básicamente aplica políticas de seguridad con GPO)
- Cryptostalker
- AntiRansom v3 de SecurityByDefault.com
- AppLocker de Microsoft
- BDAntiRansomware de BitDefender
- PROTEIN – PROTEct your INformation (Powershell Anti-Ransomware)
- Interceptor de McAffe es un Anti-Ransomware gratuito
Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.
-
Para abrir Opciones de carpeta, haga clic en el botón Inicio
, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
-
Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
-
Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
-
Antes: .pdf
Ahora mostrará: .pdf.exe
Ejemplos:
Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento
Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.
Desactivar Windows Script Host
Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.Windows Script Host (WSH) se usa para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.
Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.
Se puede ditar el registro de Windows para desactivar WSH.
Aquí está la clave (carpeta).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".
Y después, si hace clic en un archivo .js, se verá esto:
El acceso Windows Script Host está desactivado en esta máquina. Póngase en contacto con el administrador para obtener más detalles.
O ejecutar el script nombre.bat
REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0
Cryptostalker
Sean
Williams, un desarrollador de San Francisco, creó un proyecto muy
interesante llamado randumb que contenía un ejemplo al que bautizó como
Cryptostalker y que, básicamente, monitoriza la creación o escritura de
archivos en el sistema con datos aleatorios por medio de un análisis
mediante frecuencia y asimetría (histograma). Si los archivos contienen
datos aleatorios puede ser una señal de la actividad de un proceso de
cifrado de un ransomware, por lo que la herramienta es ideal para
alertar al usuario de forma temprana.
Además recientemente ha sido portado a Go sustituyendo inotify por fsnotify de Google para las notificaciones. Funciona perfectamente en Linux y OSX aunque está pendiente probarlo más en Windows.
Además recientemente ha sido portado a Go sustituyendo inotify por fsnotify de Google para las notificaciones. Funciona perfectamente en Linux y OSX aunque está pendiente probarlo más en Windows.
Su nuevo repositorio es:
Editor de directivas locales y de grupo (Group Policy Object, GPO)
Se pueden utilizar los grupos de Windows o el editor de directivas locales para crear directivas de restricción de software que bloquean los ejecutables que se inician cuando se encuentran en rutas específicas. Para obtener más información sobre cómo configurar directivas de restricción de software.
Las rutas de los archivos que han sido utilizados por esta infección son:
C:\Users\\AppData\Local\ .exe (Vista/7/8)
C:\Users\\AppData\Local\ .exe (Vista/7/8)
C:\Documents and Settings\\Application Data\ .exe (XP)
C:\Documents and Settings\\Local Application Data\ .exe (XP)
%appdata%\*.exe
%appdata%\*\*.exe
%localappdata%\*.exe
%localappdata%\*\*.exe
Con el fin de bloquear CryptoLocker podemos crear reglas para las rutas en las que no se permite la ejecución de archivos. Para crear estas directivas de restricción de software, añadiendo las políticas de forma manual usando el editor de directivas de seguridad local o el editor de directivas de grupo.
Nota: Si estás utilizando Windows Home o Windows Home Premium, no tendrás disponible el editor de directivas de seguridad local.
Con el fin de crear manualmente las directivas de restricción de software necesitas usar Windows Professional, Bussiness, Enterprise o Ultimate, o Windows Server. Si quieres establecer estas políticas para un determinado equipo puedes usar el editor de directivas de seguridad local. Si vas a aplicar estas políticas para todo un dominio, entonces necesitas utilizar el editor de directivas de grupo.
Para abrir el editor de directivas de seguridad local, haz click en el botón Inicio y escribe “Directiva de seguridad local”, para después seleccionar el resultado de la búsqueda que aparece. Para abrir el editor de directivas de grupo, escribe “Directiva de grupo” en su lugar. En esta guía veremos el editor de directivas de seguridad local en los ejemplos.
Una vez la pantalla está abierta, expande Configuración de seguridad y, a continuación haz clic en la sección de directivas de restricción de Software. Si no ves nada en el panel de la derecha (como se muestra arriba), tendrás que añadir una nueva política. Para ello haz clic en el botón Acción y selecciona Nuevas políticas de restricción de Software. Esto habilitará la directiva para que aparezca el panel de la derecha. Después, debes hacer clic en la categoría Reglas adicionales, e ir al panel derecho, donde seleccionaremos Nueva regla de ruta… A continuación, agregamos una regla de ruta para cada uno de los elementos enumerados a continuación.
Si las directivas de restricción de software causan problemas al intentar ejecutar aplicaciones legítimas, mira esta sección sobre cómo habilitar aplicaciones específicas.
A continuación se presentan algunas reglas de ruta que se sugieren, no solo para bloquear las infecciones sin más, si no también para bloquear los archivos adjuntos que se ejecuten al abrir un cliente de correo electrónico.
Bloquear ejecutable CryptoLocker en %AppData%
Ruta: %AppData%\*.exeBloquear ejecutable CryptoLocker en %LocalAppData%
Security Level: Disallowed
Descripción: Don't allow executables to run from %AppData%.
Ruta usando Windows XP: %UserProfile%\Local Settings\*.exeBloquear ejecutable Zbot en %AppData%
Ruta usando Windows Vista/7/8: %LocalAppData%\*.exe
Security Level: Disallowed
Descripción: Don't allow executables to run from %AppData%.
Ruta: %AppData%\*\*.exeBlock ejecutable Zbot en %LocalAppData%
Security Level: Disallowed
Descripción: Don't allow executables to run from immediate subfolders of %AppData%.
Ruta con Windows XP: %UserProfile%\Local Settings\*\*.exeBloquear ejecutables de un archivo adjunto abierto con WinRAR:
Ruta Windows Vista/7/8: %LocalAppData%\*\*.exe
Security Level: Disallowed
Descripción: Don't allow executables to run from immediate subfolders of %AppData%.
Ruta en Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exeBloquear ejecutables de un archivo adjunto abierto con 7zip:
Ruta en Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Security Level: Disallowed
Descripción: Block executables run from archive attachments opened with WinRAR.
Ruta en Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exeBloquear ejecutables de un archivo abierto con WinZip:
Ruta en Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Security Level: Disallowed
Descripción: Block executables run from archive attachments opened with 7zip.
Ruta en Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exeBloquear ejecutables de ficheros adjuntos usando compresor de Windows:
Ruta en Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Security Level: Disallowed
Descripción: Block executables run from archive attachments opened with WinZip.
Ruta para Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Ruta para Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Security Level: Disallowed
Descripción: Block executables run from archive attachments opened using Windows built-in Zip support.
Cómo protegerse Ransomware con Windows 10
Nueva función del centro de seguridad en Windows 10Windows Defender va a monitorizar los cambios que cualquier aplicación intente realizar en tus carpetas protegidas.
Presiona el botón de inicio, escribe "Centro de seguridad" y elige el primer resultado.
Luego, en la ventana del Centro de Seguridad de Windows Defender haz click en Protección antivirus y contra amenazas, es decir, el icono en forma de escudo a la izquierda.
Lo siguiente es hacer click en la opción Configuración de antivirus y protección contra amenazas.
Haz scroll hasta encontrar la opción Controla el acceso a la carpeta y marca la casilla Activado. Esto mostrará una ventana de confirmación para que des permiso a Windows Defender a cambiar la configuración. Dile que sí y listo.
A partir de ahora, si una app intenta cambiar tus archivos protegidos, la app se pondrá en una lista negra y Windows te informará. Por defecto, las carpetas protegidas son: Documentos, Imágenes, Vídeos, Música, Escritorio y Favoritos. También puedes añadir más.
Cómo protegerse contra Cryptolocker en Windows 2012
Vamos a implementar una solución basada en el Administrador de recursos del servidor de archivos (File Server Resource Manager), conjunto de herramientas que permite administrar la cantidad y el tipo de datos almacenados en los servidores. Esta opción está disponible de manera gratuita en Windows Server 2012, añadiendo simplemente las características correspondientes dentro del servidor de ficheros.
El Administrador de recursos del servidor de archivos es un conjunto de herramientas de Windows Server® 2008 que permite a los administradores entender, controlar y administrar la cantidad y el tipo de datos almacenados en los servidores. Los administradores pueden utilizarlo para asignar cuotas a carpetas y volúmenes, realizar un filtrado activo de los archivos y generar informes de almacenamiento exhaustivos. Este conjunto de instrumentos avanzados no sólo permite al administrador supervisar los recursos de almacenamiento existentes, sino que además le ayuda a planear e implementar futuros cambios de directivas.
En el nodo Administración del filtrado de archivos del complemento MMC del Administrador de recursos del servidor de archivos, puede realizar las siguientes tareas:
- Crear filtros de archivos para controlar los tipos de archivos que los usuarios pueden guardar y generar notificaciones cuando los usuarios intenten guardar archivos no autorizados.
- Definir plantillas de filtrado de archivos que puedan aplicarse a nuevos volúmenes o carpetas y que pueden utilizarse en toda una organización.
- Crear excepciones de filtrado de archivos que amplíen la flexibilidad de las reglas de filtrado de archivos.
- Garantizar que no se almacenen archivos de música en las carpetas personales de un servidor y, al mismo tiempo, permitir el almacenamiento de tipos concretos de archivos multimedia que admitan la administración de derechos legales o que cumplan las directivas de la compañía. En el mismo escenario, puede que desee conceder a un vicepresidente de la compañía privilegios especiales para almacenar cualquier tipo de archivos en su carpeta personal.
- Implementar un proceso de filtrado para enviarle una notificación por correo electrónico cada vez que se almacene un archivo ejecutable en una carpeta compartida, que incluya información del usuario que almacenó el archivo y la ubicación exacta de éste, de modo que puedan tomarse las medidas preventivas pertinentes.
Cómo monitorizar ficheros dentro de un servidor Windows 2012
Comenzaremos en la selección de roles de servidor, seleccionando el administrador de recursos:
El concepto a desplegar es sencillo: monitorizar los ficheros dentro del servidor. Para ello, introduciremos una serie de extensiones maliciosas empleadas por el malware para cifrar los archivos, poniendo un “señuelo” en esas carpetas para que en caso de infección, se detecte el proceso y se detenga.
Lo primero que debemos hacer es tener una lista de extensiones empleadas por el malware más o menos actualizadas.
Pongamos como punto de partida este listado:
En el Administrador de recursos creamos un grupo de archivos que incluya este tipo de extensiones:*.*AES256
*.*cry
*.*crypto
*.*darkness
*.*enc*
*.*kb15
*.*kraken
*.*locked
*.*nochance
*.*oshit
*.*exx
*@gmail_com_*
*@india.com*
*cpyt*
*crypt*
*decipher*
*install_tor*.*
*keemail.me*
*qq_com*
*ukr.net*
*restore_fi*.*
*help_restore*.*
*how_to_recover*.*
*.ecc
*.exx
*.ezz
*.frtrss
*.vault
*want your files back.*
confirmation.key
enc_files.txt
last_chance.txt
message.txt
recovery_file.txt
recovery_key.txt
vault.hta
vault.key
vault.txt
*.aaa
*help_your_files*.*
El siguiente paso es crear una plantilla de actuación, en la que definiremos el comportamiento deseado ante la detección de un fichero con la extensión mencionada:
Una de las opciones básicas es configurar un mensaje y cuenta de correo para notificar el incidente:
A continuación sería una buena idea escribir un
evento en el registro de Windows para reenviar posteriormente a un
sistema de correlación SIEM o simplemente para efectos de control.
Claro que no solo queremos detectar una posible infección por ransomware, sino que queremos prevenir o mitigar las temidas consecuencias. Para ello, habilitamos una sesión de comandos al encontrar un cambio en los ficheros:
El comando o los comandos que podemos ejecutar mediante este “disparador” o monitor son infinitos.
Podemos optar por apagar el servidor de ficheros, bloquear el acceso al
usuario de red que ha intentado modificar los ficheros (el malware), o
bloquear la dirección IP de entrada al servidor desde el equipo que
origina la infección.
Particularmente prefiero apagar el servidor. Esto dejará a los usuarios sin servicio, pero es una manera radical de evitar la infección.
Por último, configuramos dónde queremos que se aplique el filtro:
Tenemos que ser conscientes de que este servicio de monitorización consume recursos
en el sistema, y que en grandes entornos con miles y millones de
ficheros podría producir penalizaciones en el rendimiento del servicio.
Para ello empleamos un pequeño truco. En los
sistemas Windows el guion bajo (_) es el primer carácter que aparece en
una ordenación, por lo que creamos una carpeta con este nombre y será
la que sea monitorizada.
A efectos prácticos en caso de producirse una infección, el proceso de cifrado comienza por la carpeta “señuelo”.
En un entorno real, se produce un lapsus de
tiempo entre que el malware comienza a cifrar la carpeta señuelo,
ejecuta el comando deseado (apagar) y se apaga el equipo o se ejecuta
cualquiera otra opción, por lo que tenemos que contar con 5/10 ficheros
cifrados.
Este es un pequeño defecto en el concepto, aunque en un entorno de millones de ficheros es un mal menor, que seguro estamos dispuestos a pagar por evitar el temido cifrado del servidor de ficheros.
Para terminar, podemos ver cómo se ha producido
el correspondiente registro en el visor de eventos. En esta prueba, un
simple cambio manual de nombre de fichero:
Windows: GPO para prevenir Cryptolocker
Podemos utilizar GPOs para fortificar la configuración e intentar evitar la ejecución de Cryptolockers.
Para ello, utilizaremos las Software Restriction Policies (SRP).
Encontraremos la posibilidad de configurar directivas SRP como GPOs de equipo o usuario:
Podemos configurar GPOs SRP que bloqueen extensiones en rutas. Una GPO SRP de bloqueo de rutas, el bloqueo se efectuará independientemente de los permisos NTFS asignados en la ruta.
Deberemos personalizar la GPO con las exclusiones necesarias según nuestro entorno: aplicaciones instaladas, sistema operativo, descompresor utilizado, etc
Vista completa de la GPO SRP texto: User Configuration (Enabled) > Policies > Windows Settings > Security > Settings > Software Restriction Policies
Enforcement
Apply software restriction policies to the following: All software files except libraries (such as DLLs)
Apply software restriction policies to the following users: All users
When applying software restriction policies: Ignore certificate rules
Designated File Types
ADE ADE File
ADP ADP File
BAS BAS File
BAT Windows Batch File
CHM Compiled HTML Help file
CMD Windows Command Script
COM MS-DOS Application
CPL Control panel item
CRT Security Certificate
EXE Application
HLP Help file
HTA HTML Application
INF Setup Information
INS INS File
ISP ISP File
LNK Shortcut
MDB MDB File
MDE MDE File
MSC Microsoft Common Console Document
MSI Windows Installer Package
MSP Windows Installer Patch
MST MST File
OCX ActiveX control
PCD PCD File
PIF Shortcut to MS-DOS Program
REG Registration Entries
SCR Screen saver
SHS SHS File
URL Internet Shortcut
VB VB File
WSC Windows Script Component
Trusted publisher management: Allow all administrators and users to manage user's own Trusted Publishers
Certificate verification: None
Software Restriction Policies/Security Level
Default Security Level: Unrestricted
Software Restriction Policies/Additional Rules
Path Rules
Disallowed:
%AppData%\
%AppData%\*\
%localappdata%\
%localappdata%\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\*\
%Temp%\
%Temp%\$*\
%Temp%\*.zip\
%userprofile%\
Unrestricted:
%Temp%\Procmon64.exe
%localappdata%\*\Procmon64.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
PROTEIN - PROTEct your INformation
Powershell Anti-Ransomware
SINOPSIS
- Este script hace un seguimiento activo de los archivos en un repositorio para buscar tipos ransomware conocidos o desconocidos.
- PROTEIN captura la acción de la creación de nuevos archivos, analizándolos y determinando si son válidos o no para la corporación.
- PROTEIN Identifica archivos conocidos (lista blanca), amenazas potenciales (lista negra) del mismo modo archivos desconocidos para su posterior procesamiento.
- PROTEIN registra cada acción de creación de archivos en el servidor.
- Posibilidad de aletar por correo electrónico a un administrador cuando se detecta un nuevo ransomware.
- PROTEIN, alerta a través de un mensaje en el ordenador del usuario, cuando se detecta un nuevo ransomware.
- PROTEIN desactiva al usuario del dominio afectado por el ransomware, impidiendo el acceso al repositorio por el ransomware u otros objetos críticos del sistema.
- PROTEIN desactiva el NIC en el ordenador del usuario afectado por el ransomware, para bloquear el acceso a la red.
REQUIREMENTOS
Ejecutar este script (secuencia de comandos) como administrador para controlar los ordenadores y los usuarios del dominio de forma remota.
INSTALACIÓN
./protein.ps1 --install
./protein.ps1 --configure
--install
Establece la ruta a la carpeta a supervisar, ruta y el nombre de los registros de almacenamiento de correo electrónico y de la adminsitrator para alertar de un riesgo.
¡¡¡IMPORTANTE!!! la carpeta Anti_malware_config debe estar en c \ en el servidor de archivos
--monitor
Inicia la supervisión de las carpetas ... iniciar el juego !!!
--configure
Vuelva a configurar la ruta de carpetas para monitorear y almacenamiento de los registros, dirección de correo electrónico
--path
Muestra por consola los archivos de configuración para comprobar.
-logs
Muestra por de consola el archivo de registro.
https://josecarlosnietoramos.wordpress.com/2015/01/30/como-evitar-que-el-ordenador-se-infecte-con-cryptolocker/
http://www.welivesecurity.com/la-es/2016/04/12/evitar-ransomware-cifre-servidor-de-ficheros-w2012/
http://www.hackplayers.com/2016/04/de-como-protegerse-contra-cryptolocker-2.html
http://www.sysadmit.com/2015/04/windows-gpo-para-prevenir-cryptolocker.html
Enviar por correo electrónico
Escribe un blog
Compartir con Twitter
Compartir con Facebook
Compartir en Pinterest

0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.