Artigo/Análise CryptoLocker: Nova super-versão de RANSOMWARE

na pratica o que faz é impedir que os executaveis (ou outras extensões problematicas) possam ser corridas diretamente do zip, IMO o que o utilizador vai fazer quando receber o aviso? descompactar para um sitio qualquer e correr a partir daí, sendo infectado na mesma...
 
neste tipo de malware, o elo fraco é sempre o utilizador.

é certo que obriga a pessoa a efetuar operações extra, mas a partir do momento que elas se abituarem a fazer essa operação extra para conseguir abrir emails legitimos, tb o vão fazer inconscientemente para emails com malware...

é como o UAC do windows, a ideia é boa, mas a partir do momento que as pessoas se habituam a ter de carregar no Yes, já nem reparam no que estão a fazer e aceitam tudo o que lhes aparecer à frente...
 
Recebi hoje este mail da Kaspersky com algumas dicas interessantes (em espanhol):

http://go.kaspersky.com/IB_09-04_Ransomware_Abril_Q2_2014_landing.html

info_imp2.png

logopaes.png


MEDIDAS DE SEGURIDAD CONTRA RANSOMWARE
Para reducir el riesgo de infección por malware del tipo Ransomware o Cryptoware "file encryptor", Kaspersky Lab
recomienda tomar las siguientes medidas de seguridad:
  • Mensajes de Correo: es la principal vía de infección hasta el momento. Lo más eficaz es activar soluciones
perimetrales en los sistemas de correo que puedan filtrar tanto Spam como archivos adjuntos que puedan

contener código ejecutable en los mismos.Si no se dispone de soluciones perimetrales, activar el módulo

de Antivirus de Correo de Kaspersky Lab para filtrar los siguientes tipos de archivos adjuntos: archivos

zip, pdf, doc(x), xls(x), exe, bat, o cualquier otro que pueda contener macros.

  • Dos ejemplos de los métodos más utilizados para la propagación son:
-Correo procedente, aparentemente, de Correos adjuntando un archivo zip del tipo:
Carta_certificada_<numero_aleatorio>.zip\Carta certificada_<numero_aleatorio>.exe
-Correo cuyo asunto es: My photo
Contenido: My new photo , send u photo ;)
Incluye un adjunto “my_new_photo” seguido de un número aleatorio y extensión .zip.
Si alguien de la organización recibe algo parecido, ¡borradlo inmediatamente! Que nadie abra el adjunto
bajo ninguna circunstancia.
  • Evitar descargar archivos cuyos enlaces estén indicados en el cuerpo de un correo y que no vengan de
personas de confianza. Si existen dudas, revisar si en el correo existen caracteres extraños en vez de tildes o

errores ortográficos como que las “ñ” vengan como “n”. Si es así, no abrir los posibles adjuntos ni pulsar en los

enlaces.

  • Siempre que sea posible, actualizar a la última versión de Kaspersky Endpoint Security 10 y configurarlo
siguiendo el artículo técnico:

http://support.kaspersky.com/10905
  • Asegurarse de que las bases de firmas de la solución de seguridad son siempre las últimas disponibles.
  • Asegurarse que el componente System Watcher esté activado.
  • Asegurarse que el componente Kaspersky Security Network (KSN) esté activado
  • Activar y configurar el módulo de control de actividad de aplicaciones para evitar la ejecución de
aplicaciones que no sean de confianza.

  • Los ficheros maliciosos ocultan el tipo de archivo que son, usando diversas técnicas, para tener
visibilidad en todo momento del tipo de extensión real del fichero, se recomienda deshabilitar la opción de

‘Ocultar las extensiones de archivo para tipos de archivo conocidos’, en las ‘Opciones de Carpeta’ del

Explorador de archivos de Windows.

  • Tener siempre copias de seguridad actualizadas de los datos, tanto de equipos de trabajo como de
unidades de almacenamiento en dispositivos externos.

  • Mantener todo el software actualizado para protegerse de infecciones desde páginas que utilizan Web
Exploit Kits que se aprovechan de vulnerabilidades del navegador, Java, Flash o Adobe Acrobat.


bullet.jpg
UNA VEZ QUE LA INFECCIÓN SE HA PRODUCIDO, las vías para intentar recuperar los archivos son:

  • Apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red.

  • Entrar en modo seguro del sistema y proceder a recuperar las Volume Shadow Copies.

  • Proceder a la restauración de las copias de seguridad.

  • Intentar recuperar los archivos con herramientas forenses.

  • Herramientas de Kaspersky: http://support.kaspersky.com/viruses/utility.

  • Herramientas de terceros: https://www.decryptcryptolocker.com/.

  • Abrir una incidencia al departamento de Soporte Técnico de Kaspersky Lab a través del portal de gestión de
incidencias: http://companyaccount.kaspersky.com.

  • Al abrir la solicitud de asistencia, por favor, descargar y enviar relleno con la información solicitada el fichero disponible aquí:


bullet.jpg
Si has recibido algún correo sospechoso de ser un RANSOMWARE, por favor envíanoslo como correo adjunto,
y nuestros expertos en malware de Moscú lo analizaran:
 
Tens que ler o que tem sido postado e tentar algumas das possíveis soluções.

Se não tens cópias de segurança em suporte externo, vais precisar de bastante sorte para recuperares isso.
 
Mais boas notícias!

Jada Cyrus disponibiliza um kit de primeiros socorros para as vítimas de ransomware:
A first aid kit for ransomware infections

Link para o kit:
https://bitbucket.org/jadacyrus/ransomwareremovalkit/src

Recomendações:
Instructions
You should never pay the ransom. This will only reinforce this type of attack. According to most security intelligence reports, criminal enterprises are already making large profits from ransomware.

In case of infection:
  • Remove the impacted system from the network
  • Attempt to identify which variant of ransomware you are infected with.
  • Before removing the threat, create a copy if possible for later analysis, which may be needed for decryption of files.
  • If possible, use restore points or backups to return to a safe state after removing the threat.
  • If you have identified the variant of ransomware and a decrypter tool is available for it in this kit, you can attempt to utilize it.
 
Tem como bloquear esta treta por exemplo via router ou afins?

Apesar de eu ser cuidadoso, aqui em casa tem mais gente que de vez em quando "detona" as máquinas e tem que andar com restores e afins. Por enquanto tem sido só browser hijack ou app de spam, mas numa destas vem esta bomba atómica.

Ando a pensar em fazer uma firewall caseira para tentar bloquear a bicharada.
 
Ha uns dias meti aqui um post com a transcricao de uma mensagem que encontrei num pc infectado, mas nao a encontro... sera que apagaram ?
 
Parece-me que sim.

Mas, sem ofensa, também não acrescentava muito quando o que queremos é apontamentos para soluções.

Tenho procurado contribuir activamente para este tópico, acho que foi de mau gosto.

Se calhar até ja apagaram mais posts , os quais nem reparei ...
 
Partilhar um texto deixado pelo malware num pc infectado que me passou pelas mãos não me parece uma matéria assim tão desprezivel.
É um exemplo, e como tal pareceu-me fazer sentido a partilha do mesmo.

Adiante, isto do ransomware parece uma procissão que ainda vai no adro, penso que ainda vai dar muito que falar, até porque parece-me que estao a aparecer cada vez mais casos
 
Tem que ser mesmo em todas as máquinas.
Does CryptoPrevent work on Server operating systems?
Yes it can, same as a workstation OS. Still, I would recommend unless you need all of CryptoPrevent’s features, to utilize Group Policy and create your own rule set, as CryptoPrevent may cause unintended side effects. There is also an existing prevention kit by thirdteir.net available in Group Policy format here if you prefer.

But my question is: WHY would you want to install the rules on a server, unless you actually allow people to check their email from the server, and there isn’t any other reason that malicious files will be executed from the server itself, then what would be the purpose of installing the rules?

The best way to protect a server from CryptoLocker is to protect the workstations, because even if you have CryptoPrevent installed on the server and a workstation with a mapped drive gets infected, the data on the server is still compromised!

Daqui, mas o site parece estar offline neste momento:
https://www.foolishit.com/cryptoprevent-malware-prevention-2/general-faq/
 
Back
Topo