Base de conocimiento ESET

Mejores prácticas para protegerse ante el código malicioso Filecoder (ransomware)

Suceso

Su producto ESET detecta una de las siguientes amenazas, o una variante de ella:

Detalles

Otras amenazas de filecoder son conocidas como:

  • "CryptoLocker", "Cryptowall", "Dirty decrypt", y "CTB locker"

  • Win32/TrojanDownload.Elenoocka.A

  • Win32/Gpcode

El ransomware es un código malicioso que puede bloquear un dispositivo o encriptar sus contenidos con el objetivo de extorsionar al propietario para que éste obtenga acceso a tales recursos. Esta clase de malware también puede poseer un reloj propio con una fecha límite de pago que debe ser cumplida, pues de lo contrario el precio para que se desbloquee la información y el hardware se incrementará  – o la información y el dispositivo permanecerán en última instancia inaccesibles de manera definitiva.

Solución

Filecoders/Ransomware son infecciones que encriptan información y archivos personales. Usualmente un equipo es infectado y luego el Filecoder/Ransomware intentará encriptar cualquier unidad de red compartida que se encuentre mapeada. Este accionar puede hacer creer que la infección se encuentra diseminándose por la red cuando en verdad no es así.

Si bien sus archivos pueden encontrarse infectados, su sistema podría no estarlo. Esto ocurre, por ejemplo, cuando una unidad compartida en el servidor de archivos se halla encriptada pero el servidor en sí no contiene una infección por malware (a menos que se trate de un Terminal server). 

Prácticas generales anti-ransomware | Mejores prácticas anti-ransomware en el producto ESETRecuperación de archivos encriptadosEquipo de soporte de ESET

Minimice el riesgo de ser afectado por malware basado en encriptación (ransomware)

  • Conserve copias de seguridad de su sistema

    Planee la realización de copias de seguridad de su sistema en intervalos regulares para proteger su trabajo más reciente ante un ataque.  ESET recomienda el uso de las siguientes soluciones de resguardo de archivos:
  • Permisos de usuarios y restricción de derechos

    Existen varias clases de restricciones, tales como las de acceso a información de la aplicación e incluso algunas que se encuentran incluidas como Objetos de Directiva de grupo (GPO). Deshabilitar archivos que se ejecutan desde las carpetas App Data y Local App Data, así como archivos ejecutables que corren desde el directorio Temp de varias utilidades de descompresión (por ejemplo, Winzip o 7Zip).

    Adicionalmente, en su producto ESET usted puede optar por crear una lista blanca de aplicaciones cuya ejecución será permitida en el equipo, bloqueando las restantes de manera predeterminada.

  • No deshabilite el Control de cuentas de usuario (UAC)

No abra archivos adjuntos que afirman ser faxes, comprobantes o recibos si el remitente posee un nombre sospechoso o usted no esperaba recibirlo.

¿Qué puedo hacer para minimizar el riesgo de un ataque de malware?

  • Deshabilite o cambie el Protocolo de Escritorio Remoto (RDP)

El malware Filecoder habitualmente accede a los equipos empleando  Protocolo de Escritorio Remoto (RDP), una herramienta de Windows que permite el acceso remoto de otros usuarios a su Escritorio. Si no requiere el uso de RDP, puede cambiar el puerto predeterminado (3398) o deshabilitar RDP pare proteger su equipo frente a Filecoder y otros exploits de RDP. Para obtener detalles e instrucciones para deshabilitar RDP, visite uno de los siguientes enlaces de la Base de conocimiento de Microsoft:

 

Mejores prácticas anti-ransomware en el producto ESET

  • Mantenga actualizado su producto ESET

Nuevas versiones de estos códigos maliciosos son lanzadas frecuentemente, de manera que es importante que usted reciba las actualizaciones de la base de datos de firmas de virus (su producto ESET buscará nuevas actualizaciones cada una hora si usted posee una licencia vigente y una conexión a Internet estable).

  • Conserve activada la Exploración avanzada de memoria y el Bloqueador de exploits

Estos nuevos algoritmos de ESET refuerzan la protección contra códigos maliciosos que han sido diseñados para evadir la detección de productos antimalware a través del uso de ofuscación y/o encriptación.

Recomendamos que actualice hacia la última versión si posee ESET Smart Security o ESET NOD32 Antivirus (incluyendo versiones corporativas) versión 4.x o anterior:

  • Mantenga activada la funcionalidad ESET Live Grid

Asegúrese de que ESET Live Grid se encuentre activada y funcional en su producto ESET.

  • Usuarios de máquinas virtuales

    Para optimizar la protección ante el malware Filecoder, recomendamos el uso de ESET Endpoint Security en entornos virtuales. Puede utilizar ESET Endpoint Security con ESET Shared Local Cache para minimizar la carga en su red para evitar que múltiples máquinas virtuales descarguen actualizaciones.

¿Pueden recuperarse los archivos encriptados?

Los Filecoders/Ransomware modernos encriptan la información utilizando métodos asimétricos y múltiples tipos de cifrados de encriptación. En pocas palabras, los archivos son encriptados con una clave pública y no es posible desofuscarlos sin ella. Con el actual ransomware, la clave privada nunca es localizada en el equipo o entorno. Esto significa que la información necesariamente deberá ser restaurada desde una copia de respaldo previa a la infección.

Si no dispone de copias de respaldo, podrá intentar recuperar los archivos desde Shadow Copies. Puede utilizar Shadow Explorer, el cual se descarga desde la siguiente página: http://www.shadowexplorer.com/downloads.html

De todas maneras, no es poco usual que las infecciones mediante ransomware eliminen las Shadow Copies para impedir la recuperación de los archivos.

¿Qué pasos deben seguirse ante una infección con ransomware?

  1. Localice el archivo TXT o HTML con las instrucciones de pago, por ejemplo "How to decrypt" ("Cómo descifrar")carpetas compartidas/unidades encriptadas.

  2. Desconecte el equipo de la red.

  3. Ejecute ESET SysRescue en el equipo infectado. Solo utilice la copia de respaldo una vez que la amenaza haya sido identificada y eliminada (vea la sección anterior, Conserve copias de seguridad de su sistema).

  4. Contacte a ESET siguiendo las instrucciones de la siguiente sección.

Equipo de soporte de ESET

Si cree que posee una muestra de Filecoder/Ransomware que no se encuentra siendo detectada, válgase de las instrucciones del siguiente artículo para enviar la muestra a ESET:

¿Cómo enviar muestras de malware, sitios web o falsos positivos a los laboratorios de ESET?