blog

¿Cómo prevenir y recuperarse de un ataque de cifrado de archivos?

Escrito por sergio.reyes | Apr 30, 2015 9:29:00 AM

Durante estas semanas se han estado producido numerosos ataques a la seguridad de los archivos de usuarios, la mayoría propagados por un falso mail de Correos que contiene un malware tipo troyano, capaz de encriptar los archivos del ordenador y extendiéndose a las redes locales, dejándolos inutilizados, para posteriormente pedir un rescate a cambio.

 

 

En Ingens Networks hemos reforzado la protección de nuestros clientes, informándoles de las características de esta amenaza y de cómo evitarla. Después de haber resuelto con éxito todas las incidencias, resumimos lo que nos hemos encontrado y como evitar futuros problemas de seguridad este tipo.

 

 

Definición de la de amenaza: CryptoLocker un Ransomware Troyano 

 

Estamos frente a un malware tipo troyano, no es un virus, por lo cual su contagio depende de que el usuario autorice su instalación en el equipo, este troyano es capaz de modificar archivos (hace un cifrado usando criptografía de clave pública RSA) almacenados en los discos locales de nuestros ordenadores y a las unidades de red que estemos conectados, lo que lo hace tan peligroso para las empresas, dejando muchos de los archivos totalmente inservibles. En este punto, aparecerán archivos de texto o webs, con mensajes pidiendo un pago a través de Bitcoins para descifrar los archivos infectados.

 

Una vez un equipo es infectado el malware puede ser eliminado del ordenador, pero los archivos se mantienen codificados.

 

 

¿Cómo se propaga?

 

En el caso del falso mail de Correos, su principal modo de propagación fue a través de un ataque de mails dirigidos a una enorme base de datos, simulando ser un mensaje informativo de entrega de una carta certificada, por medio de un link descarga un archivo en nuestro ordenador, que al abrir contiene nos lleva a una falsa web de Correos donde por medio de un captcha descargaremos el malware en un archivo que usa el icono de Adobe Acrobat (o un icono del mundo) pero es ejecutable .EXE, al abrirlo el malware se inicia utilizando recursos de la red anónima TOR causando los daños antes mencionados.

 

 

 

¿Qué hacer si se infecta?

 

En el caso de que desgraciadamente el troyano ya esté instalado y ejecutado en el equipo, es muy importante no pagar en ningún caso el rescate, principalmente por 2 razones.

 

1) Hay caso de gente que aun pagando no han recuperado sus archivos, es más en otros casos la cantidad a pagar aumenta.

 

2) Se está fomentando el terrorismo informático, que según informes en lo que va de año lleva más de 3 millones de dólares recaudados de esta forma.

 

 

 

 

Si esto sucede a nivel de empresas con un buena infraestructura informática, lo que se suele hacer es usar los backups para recuperar los datos. A nivel de usuario, es igual, los archivos quedan cifrados, y ni siquiera una restauración del sistema los reparará, por eso es importante hacer copias de seguridad. Como última opción se puede esperar hasta que los departamentos de seguridad localicen a los culpables y hagan públicas las claves de desencriptación, algo que puede tardar mucho tiempo.

 

 

¿Qué hacer para evitar este tipo de amenazas?

 

Como hemos comentado antes, estamos frente a un malware que necesita de nuestra autorización para ejecutarse, por lo tanto las medidas de seguridad a nivel de usuario son muy importantes, y actuar con responsabilidad es vital. Consejos como no abrir mails de direcciones desconocidas, no descargar ni ejecutar archivos sospechosos deben ser conocidos por todos los usuarios. ¿Pero como controlar todo esto a nivel de empresa?

 

Medidas preventivas

 

La mejor forma de prevenir, no solo este, si no la mayoría de los problemas de seguridad a nivel de empresa es contar con un buen firewall. Nuestra recomendación a nivel de firewall es la compañía SonicWALL y sus soluciones de administración unificada de amenazas (UTM), ya que cuenta con los Next Generation Fire Wall líderes en seguridad según NSS Labs, capaces de analizar de forma profunda todo el flujo de paquetes de libre reensamblaje de un solo paso, sin importar el puerto ni protocolo. 

Ademas de contar con con un Gateway antivirus (McAfee o Kaspersky) que puede impedir al acceso a redes anónimas como TOR, lo que al parecer impide la encriptación de archivos (aunque los mensajes de pago siguen apareciendo), un Content Filter y el Enforced Client que nuestro caso es McAfee.

 

Todas estas medidas protegen de una amplia mayoría de amenazas, virus, spywares, etc… pero por mucha seguridad que exista siempre queda abierta una pequeña brecha que puede ser explotada y sobre todo si existe un eslabón como el factor humano, para esos caso existen las soluciones de recuperación.

 

 

 

Recuperación en caso de desastre

 

En anteriores post hemos hablado de la importancia de los Backups y de el marcado liderazgo tecnológico de Veeam Software, pues en todos los casos de infección con este malware la única opción para recuperar archivos fue utilizar el sistema de recuperación de de copias de seguridad, y en todo los casos donde se utilizaba la solución Veeam Backup & Replication se recuperó el 100% de los archivos secuestrados.

 

 

 

Además en nuestro caso trabajamos con las soluciones EMC ( incluyendo Data Domain) + Veeam, lo que permitió la integración total de los 2 sistemas y al momento de la recuperación, que esta se lograra en muy poco tiempo. Con lo que una vez más podemos certificar que el valor que tiene la seguridad informática de la empresas no hace más que incrementar día a día. Por el contrario, el precio que se paga por no tener la seguridad adecuada es infinitamente más alto.

 

Al final, solo podemos concluir que a pesar de que hoy en día los firewall y antivirus poseen un nivel de seguridad muy alto, estricto, y logran controlar la mayoría de las amenazas, no existe un sistema de prevención 100% seguro, por contra lo que sí puede y debe ser 100% fiable es el sistema de copias de seguridad y su recuperación, ya que muchas veces de ella dependerá la integridad de los datos de las empresas.  

 

 

**ACTUALIZACIÓN**

A día de hoy, nos llegan reportes de una nueva oleada de mails, esta vez a nombre de la Agencia Tributaria con respecto a la declaración de la renta.