blog

Parando CRYPTOLOCKER con Dell Sonicwall UTM ### Parte I ####

Escrito por maximo.dominguez | May 4, 2015 9:30:00 AM

En este par de post, vamos a ver la manera de aplicar dos estrategias a nuestros Firewalls Dell Sonicwall de forma que nos puedan SUMAR ACTIVAMENTE en la prevención de desastres con los troyanos de tipo Cryptolocker Ransomware.

 Basado en FIRMWARE: SonicOS Enhanced 5.9.0.6-3o o superior


ESTRATEGIA 1 (cortar el canal de comunicación):

Dado que como ya vimos en posts anteriores, el CRYPTOLOCKER o variante se vale de la RED TOR o proyecto cuyo objetivo principal es el desarrollo de una red de comunicaciones distribuida de baja latencia y superpuesta sobre internet, en la que el encaminamiento de los mensajes intercambiados entre los usuarios no revela su identidad y van encriptados. Vamos a considerar que en el mundo empresarial, todo intento de UTILIZAR TOR se verá como ILICITO y como una AMENAZA.

 

PROCESO:

1. Empezamos navegando a Firewall>App Control Advanced

2. Seleccionaremos Category:PROXY-ACCES y Application: TOR

3. Editaremos la Application "icono lápiz" de forma que activaremos el BLOCK y LOG de la misma

 

 

 

Finalmente nos debe quedar así.

 

 

Para verificar que esto funciona, simplemente con bajar e instalar el navegador TOR, veremos que ya nunca más se conectara...

Por tanto cualquier trafico que utilice esta red no será permitido y el troyano Cryptolocker de turno, al intentar conectarse con uno de los servidores de control designados (vía TOR) no podrá generar el par de claves RSA2048-bits y de esta forma EVITARIAMOS LA ENCRIPTACIÓN de los archivos.

 

 

Este es el primer post, espero que os sea de utilidad y nos vemos en la siguiente estrategia!!!