Anti-Child Porn Spam Protection 2.0

Anti-Child Porn Spam Protection 2.0

Desde nuestro servicio técnico informático quisiéramos informar de una nueva variante del ramsomware "Anti-Child Porn Spam Protection 2.0".

Este tipo de ataque se realiza mayormente los fines de semana y tiene como principal objetivo las empresas que utilizan Terminal Server en servidores con sistemas basados en Windows 2003.

El sistema que utilizan es el siguiente, la maquina infectada lanza ataques a diferentes direcciones IP sobre el puerto 3389 ( puerto utilizado para Terminal Server de manera común y predeterminada ). Cuando una dirección con ese puerto responde, el virus se conecta

mediante TS y lanza ataques de fuerza bruta para averiguar nombres de usuario y contraseñas de acceso.

Una vez el virus ha conseguido el login de acceso, eleva los privilegios del usuario que ha descifrado aprovechando vulnerabilidades de escritorio remoto ( http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223 ) consiguiendo así acceso al servidor con privilegios de administrador y así ejecutar código en la máquina de forma remota.

La infección lo que hace es encriptar todos los ficheros que encuentra a su paso ( documentos de texto, hojas de calculo, imagenes, bases de datos, archivos comprimidos, etc... ) con contraseña de tipo AES de 256 bits.

Un ejemplo de nombre de fichero cifrado: Num_serie.txt(!! to get password email id 1138972443 to Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. !!).exe

En el caso de encontrarse con esta infección, la desinfección del mismo es posible, el problema es la desencriptación de los ficheros, ya que por ahora a fecha de hoy ( 28/06/2013 ) sólo es posible la decodificación de la variante Filecoder.

Para desinfectar el servidor es necesario que se realice el paso 1 de lo que mostramos a continuación.

1 Crear un live cd de ESET Sysrescue y hacer un análisis del sistema http://kb.eset.es/home/soln2103

- Si la variante que ha afectado al servidor NO es gpcodec.nak/gpcodec.nai realizar los siguientes pasos:

2 Cuando el análisis con ESET haya finalizado y se hayan eliminado las amenazas, acceda a Herramientas > Cuarentena y pulse con el botón derecho sobre los archivos de la cuarentena y pulse en "Restaurar en..." y guarde los archivos en una ubicación en el disco duro para, posteriormente, enviárnoslo.

3 Los archivos provocadores de la infección provenientes de la cuarentena de la herramienta que los ha eliminado (anteriormente obtenidos)

4 Archivos cifrados por la infección y, si fuera posible, copias limpias de esos mismos archivos

5 Carpetas ocultas con archivos en c:programdata (los nombres están compuestos por 8 caracteres aleatorios).

Todo ello se comprime con contraseña y nos lo enviáis por correo a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. indicándonos esa contraseña y el EAV del cliente infectado.

El departamento de ESET Nod32 España nos aconseja realizar las siguientes acciones para proteger nuestros servidores Windows 2003 de estos ataques:

   - Aplicar los parches de Microsoft disponibles para servidores Windows 2003 Server y superiores, sobre todo los que afecten al escritorio remoto es fundamental. http://technet.microsoft.com/es-es/security/bulletin/ms13-029 
    - Comprobar las diferentes cuentas de acceso al sistema y eliminar o deshabilitar aquellas que no sean necesarias, sobre todo las que tengan acceso a escritorio remoto.
    - Cambiar las contraseñas de acceso. Es fundamental utilizar contraseñas robustas (es aconsejable utilizar números, mayúsculas, símbolos y además una longitud de 12 caracteres como mínimo) para al menos dificultar lo máximo posible que el ataque de fuerza bruta rompa tu seguridad.
    - Disponer como mínimo de dos backups de sistema y por lo menos uno de ellos alojado en una ubicación diferente. 
    - Proteger con contraseña la protección de los productos ESET tanto en equipos clientes como en servidores.     

Otra opción que se les ha ocurrido a nuestros técnicos, es también cambiar el puerto que utiliza Terminal Server para conectarse al escritorio remoto, el 3389 por cualquier otro, para ello se pueden seguir los pasos de la web de Microsoft ( http://support.microsoft.com/kb/187623/es )

En cuanto tengamos más información al respecto actualizaremos esta misma página para daros las herramientas para desencriptar vuestros ficheros

Informático a domicilio en Barcelona

 

Servicio Técnico Informático en Barcelona

logo hardmicro h

Hardmicro S.C.P.
Avenida Diagonal, 287 bis, 08013 Barcelona(Barcelona)
Teléfono: 93·511·17·11 Web: https://hardmicro.net


Os animamos a todos para que nos dejeis un comentario en Google, no sólo para ayudarnos a mejorar sino también para que otras personas nos encuentren y nos conozcan un poco mejor grácias a vuestros comentarios

logo ciutat de pauEn memoria a la Rambla 17A
  • Avenida Diagonal, 287bis Barcelona
  • Lunes a jueves de 9:00 a 13:30 y de 16:30 a 19:30, viernes sólo de 9:00 a 13:30.
  • 93 511 17 11
  • 627 237 289