Protegerse de un ransomware

Como protegerse de un Ransomware

Un Ransomware es un malware de secuestro, es decir, un software malicioso que impide a los usuarios acceder al sistema o a sus archivos personales y que pide un rescate (ransom) mediante un pago para devolvernos de nuevo el control del sistema.

Hoy en día, el método más habitual de pago es mediante criptomonedas (más habitual por su nula rastreabilidad) o mediante pago por tarjetas de crédito.apert ESET

Los métodos de entrada del Ransomware son variados, siendo los más comunes el spam malicioso, es decir, mensajes no solicitados a través de correo electrónico y que normalmente busca engañar a la victima para que descargue y/o ejecute un programa o código. Para ello, suelen incluir un archivo adjunto trampa como PDF o ZIP en el mismo mensaje o incluso puede tener enlaces a sitios web maliciosos en el mismo cuerpo del correo electrónico invitando a descargar el archivo y así pasar desapercibido para el antivirus del sistema.

De Ransomware los hay de diferentes tipos como los que te bloquean la pantalla al iniciar el sistema mediante ventanas que ocupan toda la totalidad de la pantalla como lo era el virus de la policia o de tipo scareware o falsos antivirus que se hacen pasar por legítimos sistemas de seguridad que te indican que tu equipo está infectado mediante muchisimas ventanas emergentes y la única manera de parar estos mensajes es pagando la licencia del programa.

Pero es precisamente el del tipo de encriptación o tipo cifrado como en el caso del cryptolocker de correos donde encontramos los Ransomware más peligrosos.

Esta variante de Ransomware encripta mediante contraseña nuestros archivos eliminando los archivos originales y en la mayoría de las variantes de este malware impiden o imposibilitan la recuperación de los datos con programas de recuperación de archivos borrados grabando encima o eliminando el sistema de copias se seguridad de Windows.

Esto último lo realiza fácilmente ejecutando un simple comando de sistema operativo y realiza una limpieza de instantáneas, versiones anteriores y puntos de recuperación del sistema operativo.

Esta acción impide al usuario recuperar información mediante las instantáneas o las versiones anteriores de los archivos y lo peor de todo es que el comando se puede ejecutar sin ni siquiera necesitar privilegios elevados o de administrador por lo que permite a cualquier script ejecutarlo desde nuestra cuenta de usuario sin privilegios de administrador sin ningún problema.vssadmin

En mi anterior artículo de cómo proteger VSSAdmin explico la posibilidad de detener la ejecución del comando impidiendo su ejecución y mediante tareas programadas permitir que el sistema siga realizando instantáneas y puntos de recuperación pero hace poco descubrí que Dolbuck Lab creó después un parche que facilitaba muchísimo la labor.

Obviamente para que el parche funcione se ha de habilitar las instantáneas del sistema y proteger más tarde vssadmin con el parche. Podeis descargar el parche desde el siguiente enlace: https://github.com/dolbuck/vssadmin-patch/blob/master/LockyVaccine.py

Fuente: MalwarebytesDolbuck Lab 

Informático a domicilio en Barcelona
Servicio técnico informático Barcelona

 

Servicio Técnico Informático en Barcelona

logo hardmicro h

Hardmicro S.C.P.
Avenida Diagonal, 287 bis, 08013 Barcelona(Barcelona)
Teléfono: 93·511·17·11 Web: https://hardmicro.net

Os animamos a todos para que nos dejeis un comentario en Google, no sólo para ayudarnos a mejorar sino también para que otras personas nos encuentren y nos conozcan un poco mejor grácias a vuestros comentarios

 
 
barcelona ciutat de pauEn memoria a la Rambla 17A
  • Avenida Diagonal, 287bis Barcelona
  • Lunes a jueves de 9:00 a 13:30 y de 16:30 a 19:30, viernes sólo de 9:00 a 13:30.
  • 93 511 17 11
  • 627 237 289