13/05/2017
EL CIBERATAQUE CON EL VIRUS WANNACRY SE EXTIENDE A NIVEL MUNDIAL
11 FORMAS DE PROTEGERTE DEL RANSOMWARE
1. Haz un backup periódico de tus datos
La única herramienta y la más importante que tenemos para derrotar al ransomware es contar con un backup actualizado en forma periódica. Si te ataca un ransomware podrás perder ese documento en el que comenzaste a trabajar esta mañana, pero si puedes restaurar el sistema a una instantánea anterior o desinfectar el equipo y restaurar desde tu backup los documentos que estaban infectados, estarás tranquilo.
Recuerda que el ransomware también cifra archivos en unidades asignadas. Esto incluye todos los discos externos como las memorias USB, así como los espacios de almacenamiento en la red o en la nube para los que haya una letra de unidad asignada. Por lo tanto, lo que debes hacer es llevar un régimen periódico en un disco externo o servicio de backup, que no tenga asignada ninguna letra de unidad o que se pueda desconectar mientras no está haciendo el backup.
2. Muestra las extensiones ocultas de los archivos
Con frecuencia, una de las maneras en que se presenta Cryptolocker es en un archivo con extensión “.PDF.EXE”, aprovechando la configuración predeterminada de Windows de ocultar las extensiones para tipos de archivos conocidos. Si desactivas la casilla correspondiente, podrás ver la extensión completa de cada uno y será más fácil detectar los sospechosos.
3. Filtra los archivos .EXE del correo electrónico
Si tu sistema cuenta con una herramienta que permite filtrar adjuntos por extensión, puedes configurarlo para rechazar los correos que tengan archivos “.EXE” o con doble extensión, donde la última sea la del ejecutable (seleccionar los archivos “*.*.EXE” al configurar el filtro). Si necesitas intercambiar archivos ejecutables dentro de tu entorno y configuraste el sistema para rechazar los de tipo “.EXE”, igual podrás hacerlo convirtiéndolos a ZIP (protegidos por contraseña, por supuesto) o mediante servicios en la nube.
4. Deshabilita los archivos que se ejecutan desde las carpetas AppData y LocalAppData
Puedes crear reglas en Windows o mediante el software de prevención de intrusiones para bloquear un comportamiento en particular, típico de Cryptolocker: el hecho de que ejecuta su archivo .EXE desde la carpeta App Data o Local App Data. Si por alguna razón tienes un software legítimo configurado para ejecutarse desde el área de App Data en vez de hacerlo desde Archivos de programa, deberás crear una excepción para esta regla.
5. Usa el Kit para la prevención de ransomware
El kit para la prevención de ransomware https://community.spiceworks.com/topic/396103-cryptolocker-prevention-kit-updated es una herramienta creada por Third Tier que automatiza la creación de una Política de Grupo para deshabilitar los archivos que se ejecutan desde las carpetas App Data y Local App Data. Además deshabilita los ejecutables que se abren desde el directorio Temp de diversas utilidades para comprimir archivos.
Esta herramienta se va actualizando a medida que nuevas técnicas de Cryptolocker salen a la luz, por lo que deberás verificarla en forma periódica para asegurarte de que tienes la última versión. Si necesitas crear excepciones para estas reglas, Third Tier suministra este documento que explica el proceso.
6. Deshabilita RDP
El ransomware en general accede a las máquinas mediante el Protocolo de escritorio remoto (RDP, por sus siglas en inglés), una utilidad de Windows que les permite a terceros obtener acceso a tu equipo de escritorio en forma remota. Si no necesitas usar el protocolo RDP, puedes deshabilitarlo para proteger tu máquina de Filecoder y otros exploits RDP. Para ver las instrucciones, consulta el artículo correspondiente de Microsoft Knowledge Base.
7. Instala las revisiones y actualizaciones de tu software
Los siguientes dos consejos son más generales y sirven tanto para ransomware como para cualquier otra amenaza de malware. Los cibercriminales con frecuencia se basan en que las personas usan software desactualizado con vulnerabilidades conocidas, lo que les permite usar un exploit e ingresar silenciosamente al sistema.
Si te haces el hábito de actualizar tu software con frecuencia, reducirás significativamente la posibilidad de convertirte en víctima del ransomware. Algunos fabricantes lanzan actualizaciones de seguridad periódicas de rutina, como por ejemplo Microsoft y Adobe, pero también existen actualizaciones adicionales no programadas para casos de emergencia. Siempre que sea posible, habilita las actualizaciones automáticas, o ve directamente al sitio web del fabricante, ya que a los creadores de malware también les gusta hacer pasar sus creaciones como actualizaciones de software.
8. Usa un paquete de seguridad confiable
Siempre es una buena idea tener un software antimalware y un firewall que te ayuden a identificar amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes para evadir la detección, por lo que es importante contar con ambas capas de protección.
En la actualidad, la mayoría del malware se basa en recibir instrucciones remotas para llevar a cabo sus actividades maliciosas. Si te cruzas con una variante de ransomware tan nueva que logra pasar el software antimalware sin que la detecte, es posible que quede bloqueada por el firewall cuando intente conectarse con su servidor de Comando y Control (C&C) para recibir instrucciones sobre el cifrado de tus archivos.
Si te encuentras en una posición en la que ya ejecutaste el archivo del ransomware sin ninguna de las precauciones antes mencionadas, tus opciones ya son mucho más limitadas. Pero puede ser que no todo esté perdido. Hay algunas cosas que puedes hacer que quizás ayuden a mitigar los daños, en particular si el ransomware en cuestión es Cryptolocker.
9. Desconéctate del Wi-Fi o quita el cable de red de inmediato
Si ejecutaste un archivo que sospechas que puede tratarse de un ransomware, pero aún no apareció la pantalla característica en tu computadora, si actúas muy rápido, quizá puedas detener la comunicación con el servidor C&C antes de que termine de cifrar tus archivos. Si te desconectaste de la red inmediatamente (¿dejé bien en claro que debe hacerse en ese preciso instante?), puedes llegar a mitigar el daño.
Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.
10. Usa Restaurar sistema para volver a un estado sin infecciones
Si la funcionalidad Restaurar sistema está habilitada en tu equipo con Windows, es posible que puedas volver a un estado sin infecciones. Pero, una vez más, debes ser más inteligente que el malware. Las últimas versiones de Cryptolocker pueden incluir la capacidad de borrar archivos de respaldo de la restauración, es decir que ya no estarán allí cuando intentes reemplazar la versión que dañó el malware.
El ransomware comenzará con el proceso de borrado cada vez que se inicie un archivo ejecutable, por lo que debes ser muy rápido, ya que los ejecutables pueden iniciarse como parte de procesos automatizados. En otras palabras, pueden ejecutarse sin tu conocimiento, como parte normal del funcionamiento de tu sistema Windows.
11. Retrocede la hora en el reloj de la BIOS
El ransomware en general fija el límite de tiempo en 72 horas para realizar el pago, tras lo cual el precio para descifrar los archivos sube significativamente. El precio puede variar debido a que Bitcoin tiene un valor bastante volátil.
Lo que puedes hacer es retroceder la hora en el reloj de la BIOS a un punto anterior a que se cumplan las 72 horas. Soy un poco reacia a dar este consejo, ya que para lo único que sirve es para evitar que pagues el precio más alto, cuando en realidad nosotros recomendamos firmemente no pagar el rescate.
Aunque el hecho de pagarles a los criminales puede llevarte a recuperar tus datos, hubo muchos casos en los que la clave de descifrado nunca llegó o no descifró los archivos. Además, ¡fomenta la conducta criminal! Ningún tipo de secuestro es una práctica comercial legítima, por lo tanto, los creadores de malware no tienen ninguna obligación de cumplir con lo acordado; pueden llevarse el dinero sin dar nada a cambio, ya que no existe ningún control ni sanción si no lo hacen.
Más información
Si eres cliente de ESET y te preocupa tu protección contra el ransomware o piensas que puedes ser un blanco, llama al número de atención al cliente de tu país o región. Te darán los últimos detalles para evitar y remediar un ataque.
Por último, cabe notar que el brote reciente de ataques de tipo ransomware generó una cobertura mediática desenfrenada, principalmente porque se aparta de la tendencia anterior del malware con motivación financiera, que solía pasar desapercibido y no dañaba los archivos. El ransomware ciertamente puede ser aterrador, pero también existen muchos problemas benignos que pueden provocar el mismo nivel de destrucción.
Es por eso que la mejor práctica siempre será (y siempre fue) protegerte del ransomware y de la pérdida de datos mediante backups de rutina. De esa forma, pase lo que pase, serás capaz de reiniciar tu vida digital rápidamente. Tengo la esperanza de que, si algo bueno puede surgir de esta tendencia del ransomware, es que comprendamos la importancia de realizar copias de respaldo regulares y frecuentes para proteger nuestros datos valiosos.
![DESCUBREN POR CASUALIDAD UN 'INTERRUPTOR' QUE EVITA QUE WANNACRY SE EXTIENDA, SIMPLEMENTE REGISTRANDO UN DOMINIO [EN]Un ...](https://img4.computers1000.com/691/225/582244006912258.jpg)
