Que es un Ransomware?

Posted on

¿Qué es Ransomware?

Ransomware es un tipo de malware o virus que impide el acceso de los usuarios a dispositivos, archivos o aplicaciones, que requiere la víctima para pagar un rescate (dinero o información) para recuperar el acceso. El ransomware que vemos más a menudo posible cifra los archivos del usuario (por ejemplo: Crowti, Tescrypt y Locky) y pide al usuario a pagar un rescate en bitcoins (o similar de pago). Si desea más información acerca de ransomware en general, debe tomar un vistazo a los artículos y entradas en el blog enumeradas la sección de referencias al final de este post.

 

th1VEW3SSS

¿Cómo puedo proteger mis usuarios de ransomware?

Office 365 tiene varias protecciones integradas contra el malware que están habilitadas de forma predeterminada, sin embargo seguimos viendo a los clientes se ve afectados por las amenazas de ransomware. Hay varias razones por qué esto podría suceder. Por ejemplo, cuando los usuarios visitan un sitio web infectado con ransomware o abrir un archivo adjunto de correo electrónico infectado con ransomware desde sus cuentas de correo electrónico personal o corporativo. Algunos accesorios posible podrían ser:

  • Ejecutables (ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, trabajo, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif, etc..)
  • Archivos de Office que admiten macros (doc, xls, docm, xlsm, pptm, etc..)

A continuación se presentan algunas recomendaciones para proteger a sus usuarios contra esta amenaza.

Proporcionar educación y conciencia en seguridad

Seguridad y educación a los usuarios es una buena práctica y puede ser utilizado como un mecanismo eficaz de prevención. Si los usuarios son capaces de identificar amenazas de seguridad como el ransomware, serán menos susceptibles a la amenaza. También, educar a los usuarios sobre cómo reaccionar en un incidente de seguridad o si su dispositivo ha sido infectado con ransomware hacer menos doloroso el proceso de recuperación y minimizar el riesgo de la infección que se separa más lejos.

Mantener soluciones de antivirus/antimalware corriente y hasta la fecha.

Instalar una solución antivirus como Windows Defender y mantener al día evitará que muchos casos de ransomware y el malware que afecta a su organización. Windows Defender y Microsoft Security Essentials le ayudará a proteger a sus usuarios y proactivamente eliminar muchos de los ataques de ransomware conocido como Crowti, Tescrypt, Nymaim, Troldesh, Reveton, etc….

Activar la protección en la nube de servicio Microsoft de protección activa (mapas)

Servicio de protección activa de Microsoft (mapas) es un servicio basado en la nube que proporcionará una mayor protección de malware a través de la entrega de cloud malware bloquea decisiones y aprovechar las últimas técnicas de detección de todo el ecosistema ofrecidas a través de la nube. Para obtener más información sobre mapas y cómo activarlo, consulte la “mapas en la nube: Cómo puede ayudar a su empresa?” post del blog.

Copias de seguridad regularmente de tus archivos

Como se recomienda por Microsoft Malware protección Center (MMPC) en su blog “la mejor defensa contra (Cri) de la copia de seguridad archivos bloqueados“, debe copia de seguridad de tus archivos de forma regular por lo que permite restaurar el sistema, utilizando el manual de sincronización de métodos, o incluso moviendo manualmente los archivos en una unidad separada. Se recomienda que las copias de seguridad se mantienen en un almacenamiento externo, no asignados o no sincronizado.

Utilice OneDrive para negocio

OneDrive para negocios puede utilizarse como un mecanismo de protección contra el ransomware. Si su organización utiliza OneDrive para negocio, OneDrive le permitirá recuperar archivos almacenados en él. Más sobre este tema en la sección “Recupera tus archivos en tu OneDrive para los negocios”.

Cuidado con los correos electrónicos de Phishing y adjuntos maliciosos

Tenga cuidado al abrir mensajes de correo electrónico y buscar indicadores de phishing sobre todo si contiene un archivo adjunto que puede ser utilizado como ransomware (tales como exe, js, vbs y ps o documento de Office tipo soporte macros .doc, .xls o .xlm). Para obtener más información acerca de correos electrónicos de phishing y cómo mitigar sus, por favor echa un vistazo a nuestro post anterior del blog acerca de “Cómo revisar y mitigar el impacto de los ataques de phishing en Office 365“.

Mantener actualizado Windows y software instalado

Deben utilizar las últimas versiones de su sistema operativo y el software (navegador, cliente de correo, etc.). La última versión de Windows y otros software que se ejecuta en el equipo apoyará nuevas funcionalidades y características que le ayudará a prevenir amenazas de seguridad. Por ejemplo, Windows 10, ya cuenta con protecciones por defecto contra el ransomware como Windows Defender con mapas (protección en la nube). Otro ejemplo es las últimas versiones de los navegadores web de Microsoft SmartScreen activado para evitar que los usuarios visiten sitios web malicioso conocidos o descarga archivos maliciosos conocidos. Es esencial que el software de los usuarios utilizan (navegadores, Java, Flash, etc…) se mantienen hasta la fecha. Actualizaciones y parches solucionar las vulnerabilidades de seguridad conocidas y añaden red nueva funcionalidad de seguridad.

Activar protección de archivos de sistema o historia

Si está infectada por ransomware, debe asegurarse de que usted es capaz de recuperar los archivos mediante el uso de la historia del archivo como se describe en el paso 4 a continuación. Para ser capaz de recuperar versiones anteriores de tus archivos en sus dispositivos Windows 10 o Windows 8.1 debe tener su historial de archivo habilitado y tienes que configurar una unidad para la historia del archivo. Si usas Windows 7 o Windows vista, la función se denomina sistema de protección. Tenga en cuenta que algunos ransomware también cifrar o eliminar las versiones de copia de seguridad que no harán de esta una solución viable.

Utilizar reglas de transporte de Exchange para proteger a los usuarios contra mensajes de correo electrónico con archivos adjuntos vulnerables a Ransomware

Un común ataque ransomware aprovecha macros o ejecutables en archivos adjuntos de correo electrónico para infectar dispositivos de sus víctimas. Reglas de transporte de Exchange puede utilizarse para proteger a los usuarios por:

  1. ADVERTENCIA de los usuarios sobre el riesgo de macros si reciben cualquier archivos adjuntos con extensiones de archivo que admiten macros.
  2. Seguimiento de los usuarios que han recibido una extensión de archivo que admiten macros.
  3. Bloqueo de correo que permiten a los usuarios ejecutar macros (extensiones de archivo especialmente obsoleta como .doc) o son ejecutables.

Además, puede deshabilitar macros en documentos de Office para ayudar a prevenir infecciones en sus dispositivos. Para aprender cómo implementar mitigaciones mencionados arriba por favor, echa un vistazo a la sección Cómo hacerlo al final de este post.

¿Cómo puedo remediar un ataque ransomware?

Muchos ataques de ransomware son bastante sofisticados y los usuarios pueden todavía ser a víctimas ellos independientemente de las medidas de protección. Si usted o alguien en su organización es a víctima de un ataque ransomware, por favor, tenga en cuenta allí es ninguna garantía que entrega el rescate le dará acceso a sus archivos y pagar el rescate también puede hacerlo un blanco de malware más. Tratándose de ransomware, reaccionando de manera oportuna es clave. Usted debe actuar tan pronto como sea posible y no debe esperar a resolver el problema. Si espera más de dos semanas, su capacidad para remediar efectivamente el problema se reduce dramáticamente. Los siguientes pasos son instrucciones que asumen que están utilizando Office 365 y OneDrive para el negocio. Si usted no es suscriptor, los pasos de restauración de archivo local pueden ser de uso.

Paso 1: Asegúrese de que tener una copia de seguridad de tus archivos

No podemos garantizar que usted será capaz de recuperar sus datos. Asegúrese de que usted tiene una copia de seguridad como ya comentamos anteriormente en la sección “copia de seguridad regularmente de tus archivos” de este post del blog.

Paso 2: Desactivar ActiveSync y sincronización de OneDrive

Desactivar el Active Sync y pausa OneDrive para negocios Sync. Si tienes activado, es posible que se sobreponen a sus archivos.

ActiveSync es el servicio que permite su correo electrónico en Exchange en línea sincronización a Office 365. Si sospecha que sus datos de correo electrónico pueden orientarse por el Ransomware, debe desactivar ActiveSync temporalmente para proteger los datos en la nube desde el punto de mira. Para desactivar ActiveSync, puede ejecutar el siguiente script en PowerShell:

#Connect a Office 365 con sus credenciales de Admin

$UserCredential = get-Credential

$Session = New-PSSession – ConfigurationName Microsoft.Exchange – ConnectionUri https://outlook.office365.com/powershell-liveid/-credencial $UserCredential-autenticación básica – AllowRedirection

Import-PSSession $Session

Usuario de destino #Enter para desactivar el Active Sync

$userEmail = Read-Host-sugerirán el ‘Por favor ingrese el email del usuario para deshabilitar el Active Sync’

#Disable ActiveSync. Opcionalmente, si desea deshabilitar las conexiones:

#-OWAEnabled $False – MAPIEnabled: $false – IMAPEnabled: $false – PopEnabled: $false)

Set-CASMailbox $userEmail – ActiveSyncEnabled $False

 

Sincronización de OneDrive es el servicio que sincroniza los datos del documento a OneDrive para negocio. Desactivar sincronización en el servicio será proteger los datos de nube de actualización de dispositivos potencialmente infectados. Si sabes que hay un único dispositivo afectado, puede utilizar la función “pausa de sincronización” en el cliente local.

Paso 3: Eliminar el malware de los dispositivos afectados

Ejecute un análisis completo con tu antivirus y quitar el ransomware (malware) de todos los dispositivos sospechosos que podría ser afectados. Esto puede incluir dispositivos que es sincronización de contenido con o ha asignado unidades a. Si no tienes una solución antivirus instalada o la solución no es capaz de detectarlo, use Windows Defender o Microsoft Security Essentials. Otra alternativa que te ayudará a eliminar ransomware o malware es la Herramienta de eliminación de Software malintencionado (MSRT). En el caso que ninguna de estas soluciones son suficientes, puede ejecutar Windows Defender offline o siga las instrucciones de solución de problemas avanzada .

Paso 4: Recuperar los archivos en su dispositivo

Después de completar el paso anterior, tratar de recuperar tus archivos para evitar el ransomware cifrar o extraer los archivos. Si previamente han convertido historia de archivo dispositivos de Windows 10 y Windows 8.1 o protección del sistema en dispositivos de Windows Vista y Windows 7, usted puede (en algunos casos) recuperar los archivos y carpetas.

Para restaurar archivos o carpetas en Windows 10 y Windows 8.1:

  • Pase en desde el borde derecho de la pantalla, toque en Buscar (o si está utilizando un ratón, apunte a la esquina superior derecha de la pantalla, mueva el puntero del ratón hacia abajo y haga clic en buscar). Entrar en “restaurar archivos” en el cuadro de búsqueda y a continuación, pulse o haga clic en restaurar sus archivos con el archivo de historia.
  • Escriba el nombre del archivo que estás buscando en el cuadro de búsqueda, o utilice las flechas izquierdas y derecha para navegar a través de diferentes versiones de tus archivos y carpetas.
  • Seleccione lo que desea restaurar a su posición original y a continuación, pulse o haga clic en el botón restaurar . Si desea restaurar los archivos a una ubicación diferente que la original, presione y mantenga o haga clic en el botón restaurar , tap o haga clic en Restaurar ay elija una nueva ubicación.

Fuente: restaurar archivos o carpetas mediante el archivo de historia

Para restaurar archivos en Windows 7 y Windows Vista

  • Haga clic derecho en el archivo o carpeta y haga clic en restaurar versiones anteriores. Usted verá una lista de versiones anteriores del archivo o carpeta. La lista incluirá los archivos guardados en una copia de seguridad (si usas Windows Backup para respaldar sus archivos) así como puntos de restauración. Nota: Para restaurar una versión anterior de un archivo o carpeta que se incluye en una biblioteca, haga clic derecho en el archivo o carpeta en la ubicación donde está guardado, en lugar de la biblioteca. Por ejemplo, para restaurar una versión anterior de un cuadro que se incluye en la biblioteca de imágenes se almacena en la carpeta Mis imágenes , haga clic en la carpeta Mis imágenes y a continuación, haga clic en restaurar versiones anteriores. Para obtener más información sobre las bibliotecas, consulte incluir carpetas en una biblioteca.
  • Antes de restaurar una versión anterior de un archivo o carpeta, seleccione la versión anterior y haga clic en abrir para ver que es la versión que desea. Nota: No puede abrir ni copiar versiones anteriores de archivos creados por Windows Backup, pero usted puede restaurarlas.
  • Para restaurar una versión anterior, seleccione la versión anterior y haga clic en restaurar.

ADVERTENCIA: El archivo o carpeta reemplazará a la versión actual en su computadora, y la sustitución no se puede deshacer. Nota: Si el botón restaurar no está disponible, no puede restaurar una versión anterior del archivo o carpeta en su ubicación original. Sin embargo, usted podría ser capaz de abrirlo o guardarlo en una ubicación diferente.

Fuente: las versiones anteriores de archivos: preguntas más frecuentes

Importante : Algunos ransomware también cifrar o eliminar las versiones de copia de seguridad y que no le permiten realizar las acciones descritas antes. Si este es el caso, usted necesita contar con copias de seguridad en unidades externas (no afectadas por el ransomware) o OneDrive (siguiente paso).

ADVERTENCIA : Si la carpeta está sincronizada con OneDrive y no está utilizando la última versión de Windows, puede haber algunas limitaciones usando historia del archivo.

Paso 5: Recuperar los archivos en tu OneDrive para negocio

OneDrive de negocios le permitirá recuperar los archivos almacenados en él. A continuación se muestran las dos opciones que puede utilizar para ello.

Restaurar los archivos mediante el Portal

Los usuarios pueden restaurar versión anterior del archivo a través de la interfaz de usuario. Para hacer esto usted puede

 

  1. Ir a OneDrive para negocio en el portal de office.com
  1. Haga clic con el botón derecho el archivo que desea recuperar y seleccionar historial de versiones.
  1. Haga clic en la lista desplegable de la versión que desea recuperar y seleccione restaurar

 

Si desea conocer más acerca de esta característica, mirar el artículo de soporte de restaurar una versión anterior de un documento en OneDrive para el negocio .

Solicitud de servicio de restauración de la colección de sitio

Si fueron afectado un gran número de archivos, utilizando la interfaz de usuario en el portal no será una opción viable. En este caso, crear una solicitud de apoyo para una ‘restauración de colección de sitio’. Esta solicitud puede restaurar hasta 14 días en el pasado. Para aprender a hacer esto por favor, mira el post del blog de Opción restaurar en SharePoint Online .

 

Paso 6: Recuperar elementos eliminados del servidor

En el raro caso de que el ransomware borra todos sus correos electrónicos, puede recuperarlos desde el servidor utilizando la función “Recuperar elementos eliminados desde el servidor” en Outlook:

  1. Ir a las carpetas de Elementos eliminados .
  1. Haga clic en el recuperar elementos eliminados del servidor: botón.
  1. Seleccione los elementos que desea recuperar. En el caso que desea recuperar todo seleccione el botón “Seleccionar todo”, asegúrese de que está seleccionado el botón de Restaurar los elementos seleccionados y haga clic en Ok.

Si desea más información sobre esta funcionalidad, por favor mira el artículo de soporte de “recuperar borrados los elementos de Outlook para Windows“.

Paso 7: Volver a habilitar la sincronización activa y OneDrive para negocios Sync

Ahora que ya han limpiado sus dispositivos y recuperado tus archivos que puedes re activar active sync.

Set-CASMailbox $userEmail – ActiveSyncEnabled $True

 

Y puede volver a activar tu OneDrive para sincronización de negocio invertir el proceso identificado aquí: Video: Stop o pausa de sincronización de bibliotecas con OneDrive de negocios.

Paso 8 (opcional): bloque de sincronización para las extensiones de archivo de Malware en el futuro

Ahora que han recuperado plenamente, puede prevenir su OneDrive local para empresa cliente de sincronización de los archivos afectados por este malware en el futuro mediante el bloqueo del tipo ransomware de ser permitido para sincronizar a su servicio de cloud.

Sistema-SPOTenantSyncClientRestriction [-BlockMacSync < SwitchParameter >] [-DomainGuids < cadena >] [-habilitar < SwitchParameter >] < parámetros comunes >

Sistema-SPOTenantSyncClientRestriction [-ExcludedFileExtensions < cadena >] < parámetros comunes >

Consulte “uso de Windows PowerShell cmdlets para habilitar la sincronización de OneDrive para los dominios que están en la lista de destinatarios seguros” para aprender más sobre los OneDrive los cmdlets y los parámetros.
¿Qué pasa si ya he pagado?

Si usted ya pagó, y fue capaz de recuperar con éxito sus archivos sin tener que utilizar la resolución del atacante, debe llamar a su banco para ver si puede bloquear la transacción. También recomendamos que usted reporte el ataque ransomware policial, sitios web estafa informes y Microsoft.

Reportando el ataque

Aplicación de la ley de contacto

Debe comunicarse con sus agencias policiales locales o federales. Por ejemplo, si estás en los Estados Unidos usted puede contactar con la Oficina de campo local del FBI, IC3 o servicio secreto.

Presentar un informe a la estafa de su país informes sitio web

Estafa de información sitios web proporcionan información acerca de cómo prevenir y evitar las estafas. También proporcionan mecanismos para divulgar si fueras víctima de estafa. A continuación se muestran algunos de ellos:

Presentar un informe a Microsoft

Usted puede ayudar a Microsoft informes de cualquier correo electrónico fraudulento que contiene ransomware enviando un correo electrónico a ‘phish@office365.microsoft.com’ o siguiendo el artículo “enviar spam, no spam y phishing estafa mensajes a Microsoft para análisis“.

Referencias

Cómo utilizar reglas de transporte de Exchange a la pista o bloquear mensajes de correo electrónico con extensiones de archivo utilizadas por ransomware

  • Ir al portal de administración.
  • Vaya a Admin | Intercambio.
  • Haga clic en flujo de correo | Reglas.
  • Crear una nueva regla haciendo clic en “+”, crear nueva regla…
  • Introducir la regla de nombre (por ejemplo “regla de Anti-Ransomware”) y haga clic en más opciones.
  • Modificar aplicar esta regla si… Cualquier accesorio… extensión de archivo incluye estas palabras…
  • Introduzca las extensiones de archivo que desea seguir haciendo clic en el icono “+” y a continuación, haga clic en Aceptar. Debe tener en cuenta:
    • Ejecutables (ade, adp, ani, bas, bat, chm, cmd, com, cpl, crt, hlp, ht, hta, inf, ins, isp, trabajo, js, jse, lnk, mda, mdb, mde, mdz, msc, msi, msp, mst, pcd, reg, scr, sct, shs, url, vb, vbe, vbs, wsc, wsf, wsh, exe, pif, etc..)
    • Archivos de Office que admiten macros (doc, xls, docm, xlsm, pptm, etc..)

 

  • Haga lo siguiente:
    • Correos electrónicos de la pista : Generar reporte de incidentes y enviarlo a… Tu cuenta de… Contenido personalizado: Seleccione todos ellos.
    • Advertir a los usuarios : Añadir acción, anexar el descargo de responsabilidad (por ejemplo: “no abrir este tipo de documentos de personas que no conoces ya que pueden contener macros que código malintencionado se ejecuta en su máquina. Gracias”.) y seleccione una caída detrás de la acción (por ejemplo, abrigo)

 

    • Bloquea los mensajes de: Acción de agregar, bloquear el mensaje… Utilice esta opción sólo si está seguro de que su organización no utiliza este tipo de archivos.

 

  • Tenga en cuenta que puede crear varias reglas. Por ejemplo, puede crear una regla de bloque para ejecutables y una regla separada y advierten a los usuarios sobre documentos de Office que admiten macros.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s