Dirigirse directamente a los datos de los usuarios con el fin de robar grandes cantidades de dinero, una de las formas más peligrosas malware, Sitio de ransomware presenta desafíos importantes para los productores antivirus, forzado a recurrir a procedimientos metodológicos agresivos para garantizar que los usuarios no se vean afectados. Desafortunadamente, no importa cuán bueno utilice el programa antivirus, la recuperación de todos los archivos comprometidos detrás infección con ransomware No está garantizado en absoluto, la prevención se mantiene la única protección verdaderamente efectiva.
Un tipo de malware capaz de eliminar la colección de fotos y documentos de la memoria del dispositivo, dejando atrás versiones cifradas que solo se pueden abrir a través de una clave de acceso, el ransomware representa la variante digital de los robos con rehenes.
Si las primeras formas de ransomware recurrieron a métodos relativamente rudimentarios, encriptando los archivos de los usuarios utilizando claves de cifrado únicas, relativamente fácil de recuperar para los productores antivirus, que proporcionaron utilidades para la desinfección, capaces de recuperar completamente los archivos bloqueados, no se puede decir lo mismo sobre las variantes más sofisticadas (eg. Cryptowall), que genera claves de cifrado únicas para cada dispositivo infectado, que envío más a un servidor de colección en posesión de los atacantes. La mayoría de las veces, los archivos encriptados de esta manera ya no se pueden recuperar, el daño causado a los usuarios y empresas afectados que son considerables.
Dependiendo de la versión, esta forma de malware puede extenderse explotando vulnerabilidades de navegador web, activado al visitar un sitio web comprometido, o al instalar un componente de extensión o complemento propuesto para visitar un sitio web. Otra forma menos conocida de ejecutar automáticamente virus en las computadoras de las víctimas y el cifrado de su contenido es adjuntar archivos infectados a mensajes de correo electrónico convincentes, a veces incluso personalizados para el objetivo elegido. Este es el método preferido de Cryptowall, una versión avanzada de Criptetero, que encripta los documentos en las computadoras infectadas y luego pide dinero al usuario, a cambio de la clave de descifrado. El archivo infectado, adjunto al mensaje de correo electrónico, usa Extensia .chm, asociado Formato HTML Compilado, un archivo aparentemente inofensivo, que normalmente se usa para entregar manuales de usuario y aplicaciones de software. De hecho, estos archivos son interactivos y ejecutan una serie de tecnologías que incluyen Javascript, tener la posibilidad de redirigir al usuario a una dirección externa. Después de la simple apertura de archivo .chm, realiza varias acciones de forma independiente, el objetivo final es la producción de una infección.
Relativamente nuevo, Trojan.download3.35539 (variante Locker CTB) se extiende a través de mensajes de correo electrónico, como un archivo adjunto en Archivo zip, que contiene un archivo con extensión .scr. Si el archivo está abierto, el programa infectado extrae en el disco duro Documento de la ONU RTF que muestra en la pantalla. Mientras tanto, en segundo plano, se descarga el programa de cifrado en un servidor bajo el control de los atacantes. Una vez descompuesto y activado, continúa escaneando los dispositivos de almacenamiento en busca de los documentos personales del usuario, que aprovechan, reemplazando el original con versiones cifradas. Después de que se ha cumplido la misión, el usuario es anunciado por un mensaje de que debe pagar por la redención de datos personales.
¿Cómo se previene la infección con cryptowall y otro ransomware similar?
Siguiendo las indicaciones de los expertos Defensor de bits, los usuarios comunes y los administradores del sistema pueden reducir en gran medida el riesgo de infección, así como los daños causados por ella, teniendo en cuenta algunas reglas básicas:
- Utiliza una solución de seguridad informática constantemente actualizada y capaz de escanear activo.
- horario de respaldo archivos en uno o más discos duros externos que no permanecen conectados permanentemente a la PC o en la red local o usando un servicio de Almacenamiento en la nube.
- Evite visitar sitios desconocidos, no accede a los enlaces o archivos incluidos como un archivo adjunto al correo electrónico con origen inseguro y no proporciona información personal sobre chats o foros públicos. A veces, es posible que los mensajes con archivos adjuntos infectados se reciban de las direcciones conocidas, si la PC en el otro extremo se veía comprometida o la dirección de correo electrónico se agregó abusivamente al campo del remitente.
- Implementa/activa una solución para bloquear los anuncios, así como Filtro antispam.
- Use un navegador web con soporte de virtualizares o desactiva por completo el titular de la reproducción de contenido Destello.
- Los empleadores deben capacitar a sus empleados con respecto a la identificación de intentos de ingeniería social y phishing, usando mensajes de correo electrónico.
"%username%\\Appdata\\Roaming\\*.exe"
"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\\.*exe"
C:\\<random>\\<random>*.exe
"%temp%\\*.exe"
"%userprofile%\\Start Menu\\Programs\\Startup\\*.exe"
"%userprofile%\\*.exe"
"%username%\\Appdata\\*.exe"
"%username%\\Appdata\\Local\\*.exe"
"%username%\\Application Data\\*.exe"
"%username%\\Application Data\\Microsoft\\*.exe"
"%username%\\Local Settings\\Application Data\\*.exe"Al mismo tiempo, los administradores del sistema deben fortalecer las políticas grupales para bloquear la ejecución del virus desde ubicaciones específicas. Esto se puede hacer en Profesional de Windows o Edición de Windows Server. opción Políticas de restricción de software se puede cumplir en el editor Política de seguridad local. Después de acceder al botón Nuevas políticas de restricción de software desde abajo Reglas adicionales, se utilizará lo siguiente Reglas de ruta con nivel de seguridad “Disgustado”:
El uso de estos mecanismos debe limitar o bloquear Cryptowall, pero para más protección, Defensor de bits nos propone Cryptowall Inmunizador. Actuar como un mecanismo de protección adicional, que funciona en paralelo con Solución antivirus Activado permanentemente, la utilidad permite a los usuarios inmunizar sus computadoras y bloquear cualquier intento de Cifrado de archivo, antes de que tenga lugar.
