Crónica de una infección de Ransomware

En digitalDot una de las principales tareas es el mantenimiento informático a empresas de la Región de Murcia y tambien en el resto del ámbito nacional.

Desde nuestra sede en Murcia prestamos soporte online y presencial en sistemas informáticos, tanto de versiones de escritorio, Linux, Mac y sobre todo entornos Windows, así como servicios de mantenimiento de servidores Windows, Linux y Mac Server.

Entre nuestras tareas de mantenimiento ofrecemos servicios de seguridad informática, prevención, planes de recuperación, así como sistemas de backup.

Hoy, lo que queremos contaros, es uno de los últimos casos en el que hemos trabajado.

Infección de Ransomware vía email

Hace unos días recibimos la llamada de un cliente, que no tenía mantenimiento con nosotros, con una infección de un ransomware a través de Email que se había propagado por la red. 

Ante esta situación la primera actuación fue desactivar el cable de red para evitar la propagación de dicho virus por escritorios remotos, difusión a través de email y propagación por red en carpetas compartidas. Se realizó un apagado del sistema para evitar que se siguieran encriptando datos del equipo incluso borrado de datos que podríamos posteriormente recuperar mediante herramientas como ShadowExplorer.

Una vez que tenemos acceso físicamente la recomendación es arrancar con un sistema Live que nos permita el análisis antivirus del equipo sin exceder el sistema de forma que evite que el Ransomware pueda volver a activarse.

Una vez analizado y detectado es conveniente obtener la versión del virus, así como su variante, para poder conocer todas las formas de infección y desinfección.

Una vez tenemos nuestro sistema detectado y desinfectado nuestra recomendación es iniciar con el sistema de recuperación del propio CD de instalación, en caso de trabajar con un Windows 7 o Windows 10, iniciar sesión con los CD´S propios y entrar en modo recuperación, de esta forma podremos escanear nuestro disco de sistema y comprobar si nuestro sistema operativo ha sufrido alguna alteración.

Para ello ejecutaremos:

Sfc /scannow

En este entorno podremos buscar la situación de nuestros datos, e intentar salvar toda la información posible a través de una disco usb.

En caso de que todos los datos estén cifrados, y una vez terminado el proceso de eliminación de rasomware, y el proceso de restauración de ficheros de sistema, podremos arrancar nuestro Windows, probando el proceso de recuperación del historial de versiones de Windows donde podremos encontrar una copia de seguridad.

Si los archivos de shadow hayan sido borrados podremos buscar herramientas de descripción entre las que destacamos:



virus ransomware

¿Cómo podemos prevenir una infección por Ransomware o Cryptolocker?

Una de las acciones para prevenir correctamente una infección de este tipo de virus o similar es establecer una buena política de permisos.

Algunos estudios demuestran que trabajar con un usuario sin privilegios de administrador de equipo, ni administrador de un dominio podría prevenir un 90% de las infecciones de sistemas.

Si no tenemos permisos la infección no podrá atacar a nuestro sistema, desactivar las copias de historial de versiones de Windows y mucho menos eliminar nuestro historial de versiones.

El nuevo sistema de UAC o control de cuentas también es un gran apoyo para nuestra seguridad en sistemas informáticos, en ocasiones puede parecer algo molesto, pero evitará acciones del sistema o que lo comprometan gravemente. Con él recibiremos alertas por modificación, o alteración de software necesario para el correcto funcionamiento de los sistemas Windows.

Algo que solemos encontrarnos, en sistemas sin mantenimiento informático, son carpetas compartidas con malas políticas de seguridad, donde todos los usuarios tienen acceso de escritura y lectura, o bien comparten carpetas de gran importancia, como puede ser carpetas de discos duros de sistemas o carpetas de Users.

Hemos encontrado alteraciones de estas carpetas tras una infección con el lanzamiento del virus, para una vez reiniciado el equipo de la victima, inicie automáticamente el virus y sea otra victima del ataque, por ello es conveniente auditar carpetas compartidas y permisos establecidos, así como la herencia. Además, se debe evitar compartir en servidores o equipos de la red carpetas discos duros completos.

Otra gran tarea de prevención es mantener el software actualizado, no solo nuestro sistema operativo, el cual es fundamental, sino también software de terceros como Adobe, Office, Flash, navegadores como Chrome o Firefox, compresores, etc.

Para ellos podemos configurar nuestra política de actualizaciones de sistemas operativos, programando su lanzamiento tras la publicación de actualizaciones de Microsoft que coinciden con los segundos Martes de cada mes.

En caso de que estemos en un dominio o una organización con más de 10 equipos, lo conveniente y recomendable sería optar por una Servidor de Actualizaciones con WSUS, o WSUS Offline que nos permita reducir el consumo de red y de distribuciones de paquetes Windows y Office.

Para el resto de software, podemos usar programas como Ninite y distribuirlos a través de la red con un paquete desatendido que mantenga nuestros softwares de terceros actualizados y a salvo de cualquier ataque.

Protección Antivirus

Sin duda es fundamental tener instalado un antivirus y una protección en tiempo real frente ataques de esta índole. Nuestra recomendación se trae como base un estudio anual de antivirus con mayor sistema de detección, una mejor heurística, y un tiempo de respuesta rápido ante nuevas detecciones y nuevas mutaciones de virus.

Soluciones como Kaspersky, Trend MIcro, Nod32 son ofrecen potentes antivirus que nos podrán proporcionar soluciones específicas para empresas. También podemos optar por el software de antivirus de Microsoft, aunque estudios demuestran que es uno de los más atacados por su integración en el sistema.

Por último, como solución alternativa, se puede optar por un sistema de prevención mediante políticas de grupo, en este caso es cómodo implementarlo y mantenerlo sobre sistemas basados en Active Directory, soluciones con dominio donde podremos establecer protección frente a email, navegación o lanzamiento de ejecutables dentro de un pdf o rar.

Esta política nos ha permitido no solo controlar las empresas en prevención de infecciones y Ransomware sino en instalación de software indebido o publicidad.

infeccion virus ransomware

¿Cómo podemos reducir el daño ocasionado por una infección?

Sin duda los sistemas no son 100% fiables, hemos visto como virus e infecciones mutan para prevenir ciertas soluciones, como técnicas de ingeniería social engañan al usuario para el lanzamiento manual de un software o incluso como una memoria usb encontrada es conectada a los sistemas informáticos, saltándose políticas de cortafuegos y IDS (Sistema de detección de intrusos).

Por ello para que una ataque dirigido u organizado no ocasione un daño grave a la empresa no puede faltar un plan de copias de seguridad, así como un plan de restauración y recuperación.

En digitalDot proponemos un plan de copias de seguridad Incremental de forma diaria que copie la información de datos más importantes de la empresa, posteriormente recomendamos una copia completa cada Viernes, diferenciando en el número de semana del mes, es decir, la copia realizada el Viernes de la primera semana del mes actual será considerada como Viernes1.

De esta forma podremos recuperar la información diariamente, hasta el último día de trabajo, en caso de fallo tendremos una copia por cada semana del mes, teniendo mínimo 4 opciones posibles de recuperación de datos.

Y por último, la última copia del Viernes será almacenada como Viernes del mes, ejemplo “Octubre” permitiendo guardar 12 copias por año y teniendo un historial de recuperación diario, semanal y otro mensual.

Para cualquier duda sobre infección, sistema de copias de seguridad o presupuesto sin compromisos de mantenimiento informático podéis contactar con nuestro equipo de digitalDot en Murcia.