Buscar este blog

viernes, 12 de mayo de 2017

Ransomware



Ramsonware 


Vamos a intentar explicar un poco el problema del Ramsonware y algunas utilidades que tenemos para poder evitar este tipo de Ataques.

Los ataques mal llamados así, son como los antiguos virus, pero estos son mucho más sofisticados y mucho más agresivos, los medios de propagación cada día son mas rápidos, entran por correos, vínculos a direcciones web contaminadas, Dropbox y por su puesto desde servidores web con código para infectar.

Los últimos conocidos son el de carta de correos, o bien el virus de la policía, todos utilizan el mismo método, entran aprovechan una vulnerabilidad o despiste del usuario, y entra ... y nos descarga el virus, boot , o programita para infectar

Lo que hace es encriptar todos los ficheros del disco duro, es decir les pone una marca encima que solo la persona que ha encriptado sabe la contraseña de descriptacion, debido a los últimos sistemas de cifrado, descubrir el método de alguna manera matemática es casi  imposible, es un método usado por la malos, inventado por los buenos, el proceso es sencillo, ellos ponen una pantalla donde exigen el rescate o pagas lo que ponen o no vuelves a ver todos tus datos ... , pero el problema es peor , porque el virus se replica en toda la red interna e infecta servidores, y a todos los vecinos de tu red, que estén conectados o bien estén en la misma red de área local, y además todos los sistemas de copias de seguridad también al estar en la misma red se van a ver afectadas, da un poco igual como crees el backup , es decir encriptara el fichero de copias de seguridad.


Soluciones 

Firewall, está claro, nos dedicamos a vender firewalls desde el año 2000, y por supuesto es lo primero que recomendamos ..un firewall es súper necesario a día de hoy.

Los firewalls UTM, tienes muchos servicios que pueden parar muchos de los problemas que actualmente tenemos. un servicio de Reputación que evita que la gente se conecte a muchos servicios con ir de baja reputación, y sobre todo tenemos el APT, que bloquea este tipo de malware avanzado bloqueando en origen desde la entrada, es decir enviando ficheros a la nube para analizar antes de que llegue al usuario final, analizando por comportamiento no por firmas como hacían los viejos antivirus.

El APT es un servicio adicional que se adquiere como licencia adicional o bien como parte de licencia TOTAL Security ...hay que activarlo y configurarlo sobre todo para el servicios SMTP , que es por donde entran la mayoria de los virus.


Antivirus: muy recomendable, pero actualmente son muy vulnerables, porque, porque se basan en firmas, es decir en patrones, esto es muy antiguo, funcionaba cuando las redes eran lentas y teníamos módems a 56 Kb, los patrones eran fijos y era fáciles de guardar en un fichero de firmas, pero ahora con los nuevos sistemas de Dropbox o similares, podemos cambiar un fichero cada 5 minutos o incluso cada minuto, de firma y de código hash que es lo que identifica el fichero en el mundo.

Antimalware Avanzado:  Los nuevos antivirus de malware avanzado, que son ideales para el tipo de Ramsonware , estos antivirus ya no se basan en firmas si no en comportamiento, es decir se basan en las acciones que realiza el ejecutable, y sobre todo ver el comportamiento del fichero, si está realizando una encriptación o atacando el registro.

TDR el componente de antivirus más avanzado de Watchguard, soluciona muchos problemas de Ramsonware, es un componente creado para el cloud, tiene un sensor que se instala en cada pc, muy fácil de instalar en los pc, a través de la consola del directorio activo. TDR no es un producto nuevo es una empresa comprada que tenía un producto muy completo, el TDR tiene un límite de licencias dependiendo del modelo de firewall, pero se pueden adquirir más.
El producto es muy completo pudiendo realizar reglas y una de las soluciones más sencillas de implementar, la instalacion para 100 pc se puede realizar en menos de media hora.

El tdr es una licencia adicional y forma parte de la licencia TOTAL Security.

Los que tengáis firewalls con Standard o Basic Security, se pueden migrar a Total Security., sin problemas
Se pueden realizar precios especiales dependiendo de las licencias que tengáis y de la caducidad de las mismas.


Cualquier duda no dejéis de decírmelo a spw@spw.es