Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Pasos a seguir si un PC se ha infectado por un ransomware


El ransomware impide a los usuarios acceder a su sistema o archivos digitales, ya que los ficheros han sido cifrados y exige el pago de un rescate para recuperarlos y puede infectar un ordenador de muchas formas. Normalmente las víctimas son empresas, pero también hay variantes de ransomware dirigidas usuarios incautos.





Primer paso: aislar

Es obligatorio identificar todos los dispositivos que estén infectados para desconectarlos de la red (ya sea de forma inalámbrica o con cable), de esta manera, el ransomware no se extenderá por smartphones, portátiles o tablets.

Durante el procedimiento, se recomienda quitar las unidades de red, los discos duros externos, las unidades flash y las cuentas de almacenamiento en el cloud.

Aísla de inmediato los dispositivos infectados

Lo primero que debe hacer si su PC con Windows se infecta con ransomware es buscar todos los equipos y otros dispositivos de la red que estén infectados y desconectarlos (ya estén conectados con cable o de forma inalámbrica). Así impedirá que el ransomware se extienda y se apodere de más equipos, tabletas y smartphones.

Durante este procedimiento, desconecte también todo lo que esté conectado a los dispositivos de su red, lo que incluye:

  • Unidades de red compartidas o no compartidas
  • Discos duros externos
  • Unidades flash
  • Cuentas de almacenamiento en el cloud

Para completar este paso, compruebe si cualquiera de estos elementos ha estado conectado al PC infectado. Si sospecha que así es, deberá comprobar también esos sistemas en busca de mensajes de rescate.


Identificar el tipo de ransomware



A continuación, averigüe a qué cepa de ransomware se enfrenta. Esta información puede ayudarte a dar con una solución.

Las víctimas pueden identificar el tipo de ransomware mediante la herramienta Crypto Sheriff de 'No More Ransom' y ofrecida por el Centro Europeo de Ciberdelincuencia de Europol.


Esta útil herramienta, ofrecida por el Centro Europeo de Ciberdelincuencia de Europol, comprueba los archivos que el atacante ha cifrado y la nota de rescate. Si Crypto Sheriff reconoce el cifrado y dispone de una solución, le proporciona un enlace para descargar el programa de descifrado que necesita.

Se tendrán que comprobar los archivos que el atacante haya cifrado junto a la nota de rescate. Si Crypto Sheriff reconoce el cifrado y ofrece una solución, proporcionará a los usuarios un enlace para descargar el programa de descifrado.

Tipos de Ransomware para PC's domésticos

Los tipos más problemáticos de ransomware son los filecoders tipo WannaCry o CryptoLocker. Otras variantes, como los screenlockers, suelen ser más fáciles de eliminar. Aquí tienes un breve resumen general:

  • Los filecoders cifran y bloquean los archivos en su PC. Los ciberdelincuentes tras este tipo de ransomware exigen un pago a cambio de las claves de descifrado, normalmente con un plazo límite, o los archivos podrían resultar dañados, destruidos o bloqueados de forma permanente. Alrededor del 90 % de las cepas de ransomware son filecoders.



  • El scareware suele bombardear con anuncios emergentes de una falsa herramienta de seguridad y exige un pago a cambio de arreglar supuestos problemas en el PC. Es el tipo de ransomware más sencillo de eliminar y suele ser el menos problemático de todos.



  • El ransomware de doxing consiste en un correo electrónico o un mensaje donde se anuncia que los ciberdelincuentes tienen sus nombres de usuario, contraseñas, correos electrónicos o mensajes instantáneos, y que los harán públicos a menos que les pague una cantidad. 



  • Los screenlockers hacen exactamente lo que indica su nombre: bloquean la pantalla y así el acceso a la máquina. Suelen hacerse pasar por mensajes de una institución oficial como el Departamento de Seguridad Interior de Estados Unidos o el FBI, e indican que ha incumplido la ley y que debe pagar una multa para poder desbloquear el PC. Los screenlockers son ya más comunes en dispositivos Android que en PC con Windows.



    Aunque la vasta mayoría de los ataques de ransomware se dirigen exclusivamente contra los PC con Windows, las cuatro variantes arriba indicadas pueden infectar Mac y dispositivos iOS y Android.


La mejor defensa, la prevención

Copias de seguridad con la regla 3-2-1 como estrategia general de gestión de datos. La regla 3-2-1 recomienda que haya al menos tres copias de los datos importantes en dos tipos diferentes de medios y al menos una de esas copias desde estar off-site, offline, aislada de conexión a internet o de red.

Regla del 3,2,1:

3 copias de seguridadde ellas en medios diferentes y 1 en una ubicación física diferente.


Vectores de entrada

  • Aumento de los privilegios mediante el uso de exploits disponibles fácilmente, como EternalBlue, para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto (RATs, por sus siglas en inglés), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de seguridad.
  • Movimientos laterales y búsqueda a través de la red de servidores de archivos y copias de seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde incluso puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en paralelo.
  • Ataques remotos. Los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos que cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta generalmente en uno o más endpoints comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas de usuario final.

Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo


Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

  1. Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
  2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
    • Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.

Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Antes: .pdf

Ahora mostrará: .pdf.exe

Ejemplos:

Antes: los fichero son mostrados con un icono falso, Windows no nos muestra la verdadera extensión del documento


Ahora: después ya podemos ver que aunque el icono es de un PDF, mp3, Excel o ZIP, en realidad es un fichero con extensión EXE.

Desactivar Windows Script Host

Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.

Windows Script Host (WSH) se usa para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.

Extensiones de ficheros bloqueadas:

  • .hta
  • .jse
  • .js
  • .vbs
  • .vbe
  • .wsf 
  • .wsh

Desactivar scripts PowerShell

Abrir ventana ‘cmd’ en modo administrador y teclee lo siguiente:

powershell Set-ExecutionPolicy -ExecutionPolicy Restricted

Para volver a habilitar la función, y dependiendo del ‘nivel’ de funcionalidad, suponiendo que no queremos ninguna restricción:

powershell Set-ExecutionPolicy -ExecutionPolicy Unrestricted

Lo dicho, si no lo usas, desactívalo.

Fuentes:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.