En menos de un mes hemos sufrido dos ataques del Kryptoloker, es lo que tiene tener tantos usuarios.
Lo que hace este virus es infectar a un usuario, y desde los accesos y permisos que tenga este usuario, encripta todos los ficheros, les añade la extensión .encripted y deja dos ficheros con instrucciones del "secuestro" en cada carpeta.
Ninguno de nuestros sistemas de seguridad ha sido capaz de evitarlo. Siempre hay variantes que esquivan los patrones de antivirus. El origen en nuestro caso a sido un email tan inocente como:
Pero hay muchas más variantes que intentarán engañarnos.
· - Tiene una forma de
expresarse muy incorrecta
· - Ni uno sólo de los
acentos está bien puestos, en lugar de ó pone ´o
· - Está informando de
una cosa que no es cierta, ¿correos no cobra por no recoger una carta
certificada?
· - ¿Cómo puede saber
correos mi dirección de correo de mitrabajo.es?
· - El aviso legal viene
en inglés. Extraño, ¿no?
Explicaré, desde lo que hemos vivido, cuales serían los pasos que se deberíamos seguir para minimizar el ataque en la medida de lo posible.
Lo importante es enterarte lo antes posible de que estamos siendo atacados. Casi seguro que será un usuario en que nos avise del comportamiento poco usual en sus tareas diarias, puede que no sea el foco de la infección, sino un usuario que comparte carpetas.
Que haría:
1. Descompartir las unidades centrales de red, proteger toda la información importante. Verificar si también tiene acceso algún servidor.
Cortar accesos a los rescursos compartidos (share, dfs, cable, cabinas de discos, etc...) de todo el mundo, si no tenemos claro el alcance de la infección y del número de usuarios foco que podemos tener, hasta tenerlo todo controlado. Otra opción sería poner todo en modo lectura, esto puede ser más lento, pero deja acceder a la información.
2. Ir a alguna de las carpetas que ha infectado y ver el propietario de alguno de los ficheros "INSTRUCCIONES_DESCIFRADO.html" o "INSTRUCCIONES_DESCIFRADO.txt"
Esta es una manera con la que localizaremos al usuario foco de la infección.
El contenido de uno de estos ficheros viene a ser:
Bajo un entorno de pruebas hemos accedido a esa URL y sale:
Un ejemplo de como lo deja:
Si buscamos por fecha los ficheros .encrypted, sabremos a que hora empezó el ataque. Podemos ir buscando fichero *.encrypted para saber si ha parado de infectar o continua creciendo.
3. Bloquear el usuario en el AD.
4. Quitar de la red el PC.
5. Eliminar origen de infección.
6. Restaurar de Backup Todo lo infectado.
7. Conectar unidades de datos.
Uno de los pasos que no menciono y debe ser de los primeros, es llamar al fabricante de antivirus y que envíe un nuevo patrón o extraDat que nos ayude con este problema. Está claro que hay que avisar a toda la organización del corte de información con el que van a verse afectados.
Como algo más de información, aquí la segunda vez, hemos detectado el origen a través del visor de eventos de uno de nuestros controladores de domino. Al ver muchas repeticiones de un suceso:
Nos daba el nombre de usuario y la IP de la máquina. Para asegurarme que era ese host me colé dentro de él con \\IP\c$ y miré carpetas con documentos.
Para dimensionar el alcance de expansión del virus, miramos en las características del AD para ver que unidades de red tiene asignadas en usuario origen del foco.
Porque para solucionar el problema de los ficheros infectados solo queda restaurarlo de copia de seguridad o pagar el chantaje (esto último poco recomendado).
Ahora hemos planificado que si se repite ese suceso nos avise, no es infalible pero son unas cuantas medidas:
En el visor de evento con "Attach Task To This Event..."
Otra medida que hemos tomado es que no exista la posibilidad que escriban ficheros .encrypted, lo hemos hecho atreves del FRMS de Microsoft. Es posible que en lugar de encriptarlo los acabe borrando, aun no se como se comportará hasta un nuevo ataque. Es posible para encriptar primero lo borre, lo encripte y al intentar grabarlo "patine". Con lo que en lugar de tener fichero infectados podríamos tener una unidad más vacía. Hay que valorar si no interesa esta opción.
Con esto avisará al usuario y al departamento de informática.
Le podríamos añadir las "Shadow Copy" y así en caso de eliminación de los ficheros podríamos recuperar selectivamente sin tirar del backup (esto lo tengo pendiente de probar)
Me ha llegado esto de mi departamento de seguiridad: " ...puede que el malware acceda directamente al stream de datos binario del fichero y lo modifica no completamente sino los primeros 2 MB y luego le cambia la extensión.
Otra cosa que se nos ocurrió, para evitar que algún usuario despistado abra el link, es conectarnos a nuestro servidor de correo, buscar el asunto en cuestión del email que nos infecta en todos los buzones y avisar a esos usuarios en particular.
Lo más importante es tener copia de seguridad y enviar email periódicos avisando a los usuarios de este tipo de peligros.
No hay que descuidar tener actualizados antivirus y antispam, pero no siempre son infalibles.
No ha llegado está recomendación de nuestro proveedor de antivirus, para que añadamos estás reglas.
No ha llegado está recomendación de nuestro proveedor de antivirus, para que añadamos estás reglas.
Si alguien quiere aportar alguna idea nueva, será bienvenida.
Muy recomendable la lectura:
http://blog.elhacker.net/2015/04/nueva-variante-del-virus-cryptolocker-ransomware-secuestro-crypt0l0cker.html
http://blog.elhacker.net/2015/01/nuevas-variantes-del-ransomware-cryptolocker-descubiertas.html
Muy recomendable la lectura:
http://blog.elhacker.net/2015/04/nueva-variante-del-virus-cryptolocker-ransomware-secuestro-crypt0l0cker.html
http://blog.elhacker.net/2015/01/nuevas-variantes-del-ransomware-cryptolocker-descubiertas.html
GoN Abril 2015