BLOG

Un Ransomware típico infecta un ordenador personal o dispositivo móvil por cualquier vía de infección, bloquea el funcionamiento del equipo apoderándose de los archivos con un cifrado fuerte y exige al usuario una cantidad de dinero como “rescate” para liberarlos.

Para intentar frenar esta amenaza las medidas preventivas a adoptar en orden de prioridad son las siguientes:

1. Mantener copias de seguridad periódicas de todos los datos importantes. Es necesario mantener dichas copias aisladas y sin conectividad con otros sistemas, evitando así el acceso desde equipos infectados.
2. Mantener el sistema actualizado con los últimos parches de seguridad, tanto para el sistema operativo como para el software que hubiere instalado.
3. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall a nivel de aplicación.
4. Disponer de sistemas antispam a nivel de correo electrónico, de esta manera reduciremos las posibilidades de infección a través de campañas masivas de ransomware por mail.
5. Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por el ransomware. Herramientas como AppLocker, Cryptoprevent, o CryptoLocker Prevention Kit, permiten crear fácilmente dichas políticas.
6. Bloquear el tráfico relacionado con dominios y servidores C2 mediante un IDS/IPS3, evitando así la comunicación entre el código dañino y el servidor de mando y control.
7. Establecer una defensa en profundidad empleando herramientas como EMET, una solución que permite mitigar exploits4 (incluidos 0-days).
8. No utilizar cuentas con privilegios de administrador, reduciendo el potencial impacto de la acción de un ransomware.
9. Mantener listas de control de acceso para las unidades mapeadas en red. En caso de infección el cifrado se producirá en todas las unidades de red mapeadas en el equipo víctima. Restringiendo los privilegios de escritura en red se mitigará parcialmente el impacto.
10. Se recomienda el empleo de bloqueadores de Javascript para el navegador, que impida la ejecución de todos aquellos scripts que puedan suponer un daño para nuestro equipo.
11. Mostrar extensiones para tipos de fichero conocidos, con el fin de identificar posibles archivos ejecutables que pudieren hacerse pasar por otro tipo de fichero.
12. Adicionalmente, se recomienda la instalación de la herramienta “Anti Ransom”, que tratará de bloquear el proceso de cifrado de un ransomware. Además, esta aplicación realizará un dump de la memoria del código dañino en el momento de su ejecución, en el que con suerte hallaremos la clave de cifrado simétrico que estuviera empleándose.

Si su equipo ha sido infectado o ha sido víctima de esta potente amenaza y desea más información no dude en contactar con Pista Cero Vilanova.

Fuente: Mycomputer