17 Abr 2013

Nuevo virus para servidor que encripta los datos (ramsonware Filecoder / CryptoLocker)

Escrito por Pablo R.S.

Últimamente hemos venido recibiendo más y más notificaciones de empresas que se han infectado por un nuevo tipo de virus que inutiliza el acceso a los datos de los servidores, encriptando sus datos y bloqueando el acceso al servidor. Este nuevo virus de tipo ransomware afecta a servidores Windows 2003.

IMPORTANTE:

Los datos más importantes para desencriptar estos ficheros y solventar el problema, son los archivos infectados que encuentra nuestro antivirus después de un analisis. Es importante una vez termine este, recuperar los archivos infectados de la cuarentena y guardarlos en una unidad externa o en el propio disco.

Utiliza una técnica de infección similar al del virus de la policía. Principalmente se ha registrado en España, y ha afectado a empresas que utilizan terminal server para acceder a los servidores, realizando un ataque por fuerza bruta para romper la contraseña de algún usuario y hacer una escalada de privilegios en el equipo infectado.

Posteriormente, este software malicioso es capaz de inutilizar el sistema antivirus que esté funcionando en el servidor e infecta el sistema, eliminando los backups y otros archivos y cifrando los datos del servidor.

Para cifrar los datos, el virus comprime los datos en formato .rar, como un autoejecutabe (la mayoría de las variantes) y le aplica una contraseña con clave AES de 256bits. Un ejemplo de archivo cifrado es el siguiente:

        WZLOCATE.BMP(!! to decrypt email id 882267915 to spainsec2 @ gmail.com !!).exe

Una vez infectado el servidor, si intentamos acceder se nos muestra una pantalla que evita el acceso al servidor (al igual que hace le virus de la policía) y que solicita una clave para descifrar los ficheros a cambio de un pago.

Una vez en este punto, lo mejor es contactar con el soporte técnico de tu solución de seguridad o con alguna empresa especializada que nos pueda aportar una solución profesional (recuperación de datos en un breve espacio de tiempo, desinfección completa del servidor, protección y auditoría del sistema)

Cada vez más se vienen dando casos similares a este, múltiples variantes de un tipo de virus que más que un virus es un modelo de negocio, difícil de parar si no seguimos un plan de mantenimiento informático en nuestras empresas.

En 2KSystems ya hemos lidiado con este y con bastantes virus similares con altos porcentajes de éxito, donde siempre hemos podido volver a recuperar los datos y desinfectar el equipo.

Si tu empresa se ha visto afectada por este caso o alguno similar, no dudes en ponerte en contacto con nosotros, estaremos encantados de ayudarte.

Es particularmente importante que no realices ninguna tarea de desinfección del equipo para poder garantizar una solución al problema. Si detectas la infección, contacta en primera instancia con nuestro equipo en el 981 369 519 y te daremos instrucciones precisas sobre como proceder.

Glosario y notas

  • Ransomware: es un tipo de software malintencionado que se instala en nuestro sistema sin consentimiento, habitualmente impidiendo al usuario el acceso al mismo a menos que se pague una cierta cantidad de dinero.
  • ¿Cómo se instala sin nuestro consentimiento? Normalmente por el acceso a sitios web malintencionados, la apertura de adjuntos en correos electrónicos infectados o abriendo enlaces malintencionados en los mensajes de chat o email.
  • ¿Cómo puedo evitarlo?
    • Lo primero es tener el software de nuestro ordenador actualizado, principalmente el sistema operativo, pero sin olvidarnos de otros complementos muy extendidos y con un historial delicado de fallos de seguridad, como Flash o Java.
    • Tener el firewall activado
    • Descartar mensajes de correo electrónico o mediante chat que sean sospechosos
    • Utilizando una solución de seguridad para nuestros sistemas
    • No trabajar siempre con cuentas de administrador
    • Implementar una política de contraseñas robustas en nuestras empresas
    • Y siempre, disponer de un buen sistema de copias de seguridad, que es lo único 100% eficiente

Espero que no os hayais visto afectados por este caso, pero si ha sido así... ya sabéis con quien os podéis poner en contacto para solventarlo...

ACTUALIZACIÓN (22/02/2017): Aunque a día de hoy han aparecido multitud de herramientas para el desencriptado, la cantidad de variantes de ransonware que siguen apareciendo diariamente hace complicado la recuperación de dichos datos. Las recomendaciones que hacíamos en este artículo siguen siendo totalmente válidas, y os invitamos a contactar con nosotros para que os expliquemos como poder mejorar la seguridad de los datos en vuestra empresa, bien implementando firewalls con soluciones UTM y sobre todo implementando una correcta política de copias de seguridad.

Escribir un comentario


Código de seguridad
Refescar

Escrito por

Pablo Rivera

Pablo Rivera

Director Técnico