De cómo protegerse contra Cryptolocker y demás ransomware - Parte 1

Una de las entradas más comentadas en nuestro blog es aquella en la que hablábamos de una herramienta para recuperar los archivos cifrados con TeslaCrypt, una variante de CryptoLocker. Dicha entrada se ha convertido en un "muro de los lamentos" donde los usuarios infectados intercambian impresiones y buscan la manera de descifrar sus archivos secuestrados por distintas variantes de ransomware.

Desafortunadamente hoy no vamos a solucionar el problema de todas aquellas personas que ya han sido afectadas. Pero de lo que si vamos a hablar, de la forma más sencilla posible, es de cómo implementar algunas contramedidas básicas para impedir que otros usuarios vean sus archivos cifrados e inaccesibles y sean sometidos al infame chantaje de este tipo de malware.

Que quede claro que, como en la vida misma, nunca estaremos totalmente a salvo pues dependemos del foco y la pericia del atacante, muchas veces con una habilidad técnica admirable (llamarle si queréis simpatía por el diablo). Por lo tanto ni que decir tiene que establecer estas medidas NO garantizan el 100% de la seguridad contra el ransomware, pero añaden más niveles de defensa y aumentan las posibilidades de detener estos ataques.

Backup, backup y backup, pero a guardalo de forma offline...

La primera línea de defensa y las más efectiva contra el ransomware es disponer de una copia de seguridad funcional y lo más actualizada posible y, sobretodo, mantenerla a salvo fuera de línea. Es decir, de nada vale tener una copia en un servidor en red accesible porque el ransomware podría también cifrar vuestros archivos accediendo mediante una de vuestras unidades conectada... o comprometiendo al servidor por otra vía quién sabe.

Es decir, no os pido que realicéis backups diferenciales diarios ni que llevéis las cintas a un banco como deberían hacer los profesionales. Tampoco utilizar un software de backup dedicado o especializado. Simplemente hablo de tener un disco USB y hacer una copia directamente de vuestras fotos, documentos y cosas importantes y, una vez realizadas, guardar el disco de nuevo en un cajón. Para los más tecnólogos y paranoicos hay algunos discos que tienen protección contra escritura por hardware.

Un poco de sentido común

Parece una tontería pero el sentido común es unas de las barreras más eficaces contra el malware en general y tampoco es una excepción contra el ransomware. No abrir enlaces ni ejecutar ficheros procedentes de usuarios que no conocemos es un stopper que impide que nos infectemos en muchas ocasiones. Los ataques de ingeniería social son cada vez más elaborados pero muchos usuarios incluso avanzados siguen cayendo en las acciones más simples.

El consejo es siempre la desconfianza. Por ejemplo no te conectes a una red WiFi abierta al menos que sea totalmente necesario. O, si es posible, utiliza un PC o una máquina virtual para tus asuntos más peliagudos y confidenciales.
Tampoco debemos olvidarnos de mantener nuestro sistema operativo con los últimos parches disponibles, usar un antivirus actualizado (también lusers) y un firewall personal que nos alerte de conexiones no deseadas.

Y por último... un extra

Muchas veces ni el sentido común impide que nos veamos afectados por alguna variante de ransomware porque es posible infectarse simplemente navegando por un sitio web (drive-by download) o mediante un 0-day que carga algún exploit kit.

Supongamos entonces que ya hemos sido comprometidos y que ninguna de las "barreras" anteriores ha funcionado. Todavía tendríamos una última oportunidad y esa es con una herramienta de monitorización continua de nuestro sistema o, para ser más concretos, con un supervisor de cambios en nuestros ficheros que ejecute una alarma o acción según el umbral que decidamos. Simplificando: un programa que actúe, aunque sea apagando el equipo, en el caso de que detecte que los ficheros de nuestro ordenador están siendo cifrados de forma masiva.


Un escenario de ejemplo

Bien, en este caso he de reconocer que no he investigado demasiado pero, por lo poco que he visto y probado, una herramienta muy interesante para los usuarios de Windows es EventSentry Light, una versión gratuita de la solución EventSentry que nos incluye algunas defensas para la monitorización de cambios en checksums de ficheros y la posibilidad de añadir filtros y umbrales para crear alarmas y desatar acciones.

Para ver una prueba de concepto y ya de paso por si queréis usarlo así en vuestros PCs, os recomiendo usar contenedores cifrados con VeraCrypt (un folk del extinto TrueCrypt) donde guardaremos nuestros ficheros sensibles de forma más eficaz y segura. Luego, en el caso de que el programa EventSentry Light detecte que los ficheros de un directorio que estemos monitorizando estan siendo cifrados, simplemente desmontará automáticamente la unidad con VeraCrypt cortando el acceso al proceso malicioso del ransomware.

Primero instalamos VeraCrypt (siguiente, siguiente y siguiente...) y creamos un volumen cifrado nuevo en un fichero contenedor donde guardaremos por ejemplo nuestras fotos. Seleccionamos primero crear nuevo volumen:



Y luego a través del wizard especificamos 'Create an encrypted file container' y 'Standard VeraCrypt Volume' e indicamos la localización, el tamaño deseado y la contraseña para acceder al mismo:



Finalmente pulsamos el botón 'Format':

 

Luego montamos el contenedor cifrado y dentro de la estructura de directorios creamos uno "trampa" llamado '000' con una serie de ficheros que posteriormente vigilaremos.  



Para automatizar el proceso en el ejemplo usaremos fsutil, si bien es conveniente crear dentro ficheros de distinto tamaño y extensiones para simular un entorno lo más real posible.

For /L %i in (1,1,500) do fsutil file createnew A%i.tmp 12288



El siguiente paso será instalar EventSentry Light y abrir su consola de administración.

En esta fase lo primero será crear una acción para desmontar el volumen cifrado en caso necesario mediante la llamada a un proceso (botón derecho sobre 'actions'):


Luego especificaremos la ruta del ejecutable principal de VeraCrypt ("C:\Program Files\VeraCrypt\VeraCrypt.exe") y le pasaremos los parámetros para el desmontaje (/q /d h /force):


A continuación dentro de 'System Health' añadiremos un paquete nuevo (botón derecho también) al que llamaremos 'Deteccion de ransomware' y dentro del mismo añadiremos un ítem de 'File monitoring'. Luego seleccionaremos el directorio "trampa" h:\000 e indicaremos que detecte añadir, borrar o modificar los checksums de los ficheros que contiene:


Después pulsaremos el botón 'Alerts' y crearemos un nuevo paquete de event log al que llamaremos 'anti-malware' y seleccionaremos la acción creada anteriormente 'Desmontar volumen cifrado':


Y especificamos el nombre del filtro:


Nota: No olvidéis hacer global el paquete asignarlo al menos a vuestro equipo.

Nos vamos al event log creado y añadimos un filtro de contenidos (botón +) para asegurarnos que las modificaciones detectadas matchean con las de paquete de monitorización de archivos creado anteriormente:


Para terminar probamos a modificar o borrar directamente algunos de los ficheros del directorio 'h:\000' y comprobamos que se detectan por el system health generado:


y vemos que la acción de desmontar la unidad cifrada se ha llevado a cabo:


Por lo que, en teoría, deberíamos haber detenido el proceso de cifrado de un ransomware que comenzó a cifrar los ficheros en nuestra unidad de VeraCrypt... :-P

Fuentes:
- CryptoLocker Defense for Sysadmins
- Trapping CryptoLocker/CryptoWall with Honey


Continúa en 'De cómo protegerse contra Cryptolocker y demás ransomware - Parte 2'

8 comentarios :

  1. Creo que hubiera bastando con el consejo de mantener respaldos en discos duros externos (desconectados de Internet). Pero la idea de desmotar una unidad cifrada al detectar actividad sospechosa es sencillamente creativa.

    ¡Felicidades al autor del topic! La verdad me ha gustado bastante ;)

    ResponderEliminar
    Respuestas
    1. SERVICIO DE INTERVENIR FACEBOOK Y WHATSSAP 2016

      SERVICO DE INTERVENIR CUENTAS

      NUESTRO SERVICIO ES 100% GARANTISADO Y EFICAS LA VICTIMA JAMAS SERACUENTA QUE ESTA SIENDO OBSERVADA.

      DESCUBRE INFIDELIDADES Y OTROS PROBLEMAS

      FACEBOOK

      YAHOO

      HOTMAIL

      WhatsApp

      CELUAR

      BASES DE DATOS

      SE INTERVIENEN CUALQUIER BASE DE DATOS

      NUESTRO UNICO CORREO DE CONTACTO ES :

      UNICO CORREO DE CONTACTO :ing.alex_hack0.5@outlook.com


      Eliminar
    2. SERVICIO DE INTERVENIR FACEBOOK Y WHATSSAP 2016

      SERVICO DE INTERVENIR CUENTAS

      NUESTRO SERVICIO ES 100% GARANTISADO Y EFICAS LA VICTIMA JAMAS SERACUENTA QUE ESTA SIENDO OBSERVADA.

      DESCUBRE INFIDELIDADES Y OTROS PROBLEMAS

      FACEBOOK

      YAHOO

      HOTMAIL

      WhatsApp

      CELUAR

      BASES DE DATOS

      SE INTERVIENEN CUALQUIER BASE DE DATOS

      NUESTRO UNICO CORREO DE CONTACTO ES :

      UNICO CORREO DE CONTACTO :ing.alex_hack0.5@outlook.com


      Eliminar
  2. Yo he escrito un script que bloquea la ejecución de archivos en todas las rutas temporales y la carpeta del usuario, una forma de proteger a lusers y funcióna de maravilla, no he tenido mas incidencias y quejas de malware ;)

    ResponderEliminar
  3. Gracias a las copias de seguridad con la tecnología de Epsilon Indi de diferenciación binaria he conseguido restaurar mis datos en más de una ocasión.

    Aún así, me parece muy interesante el contenido de esta entrada.

    ResponderEliminar
  4. Tengo una pregunta. El virus cryptolocker me infectó un disco duro externo. Está completamente cifrado. Ahora bien. ¿Si conectado un pc al disco duro externo me infectará el pc,O simplemente el disco duro está encriptado, pero no infectado? El pc que me infectó el disco duro externo lo formatee. Así que por ese lado no me preocupa.
    El externo lo he chequeado con Linux, y los antivirus no me dicen nada. Mi nivel es de usuario y estoy bastante pegado en estos temas. Gracias por las respuestas .

    ResponderEliminar
  5. Tengo una pregunta. El virus cryptolocker me infectó un disco duro externo. Está completamente cifrado. Ahora bien. ¿Si conectado un pc al disco duro externo me infectará el pc,O simplemente el disco duro está encriptado, pero no infectado? El pc que me infectó el disco duro externo lo formatee. Así que por ese lado no me preocupa.
    El externo lo he chequeado con Linux, y los antivirus no me dicen nada. Mi nivel es de usuario y estoy bastante pegado en estos temas. Gracias por las respuestas .

    ResponderEliminar
    Respuestas
    1. Es posible que si este infectado de hecho e visto variantes que se ejecutan sin problema incluso en android y no lo detecta el antivirus, puedes abrir el archivo en una sanbox o maquina virtual aunque igual puede infectrse tu pc todo depende de la variante, prueba en un ciber xD pero si esta infectado seri una maladad para los otros usuarios.

      Eliminar