Nuevos Ataques a Windows 2003 SERVER que codifican los
ficheros y les añade un extensión .omg
Tras la anterior versión del RANSOM ANTICHILD que
empaquetaba los ficheros en RAR .EXE autoextraíble, con claves complejas,
pidiendo rescate para el envió de esta clave para poder recuperar tus datos. Este
fin de semana le han codificado los ficheros y renombrado a .OMG! a cientos de
personas en Venezuela, y al parecer se extiende por Latinoamérica, lo cual
parece ser otra versión derivada de dicho RANSOMWARE.
Todas las variantes conocidas hasta la fecha de esta familia
de malware, afectan a servidores Windows 2003 server, a través del puerto 3389
del Terminal Server.
La intrusión puede llegar por fuerza bruta en ordenadores
con contraseñas débiles o por falta de parches de seguridad.
Difícilmente se pueden decodificar los ficheros cifrados sin
pagar el rescate, y lo que procede es recuperar los ficheros desde la copia de
seguridad, si el usuario ha seguido la normativa informática básica, para lo
que es recomendable disponer de las utilidades al respecto, como la novedosa
GUARDIAN, que salvaguarda los datos y evita catástrofes ante la pérdida de
datos de estos casos o similares. Al final la solución es recurrir a respaldos
que tengan fuera del servidor.
¿Cuáles son las mejores prácticas que podrían ayudar a las
empresas no verse afectados por la amenaza u otras que posean comportamientos
similares?, aquí las tienen:
─Utilizar contraseñas fuertes
(alfanuméricas de mínimo 12 caracteres de longitud y que contengan mayúsculas y
algún carácter especial) para todos los usuarios.
─Deshabilitar cualquier usuario por defecto dentro del sistema que no este en uso.
─Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario, utilizar un puerto no estándar o, mejor aún, que solo sea accesible mediante conexiones de red seguras como son las VPN.
─Tener actualizado los equipos con todos los parches de seguridad correspondiente (recomendamos particularmente corregir ahora las vulnerabilidades conocidas hasta la fecha.
─Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. Este punto es clave, ya que de existir esta protección, en este caso la infección no se podría llevar a cabo.
─Contar con una política de Backus que aloje los mismos dentro de sistemas protegidos y preferentemente aislados.
─Realizar auditorias de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.
Es importante destacar que a la fecha no existe una manera viable de poder recuperar los archivos cifrados, por lo que es de suma importancia que se apliquen las recomendaciones antes mencionadas.
Las diferentes variantes de este RANSOM PORNCHILD cifran los ficheros y añaden las siguientes extensiones, según variante:
─Deshabilitar cualquier usuario por defecto dentro del sistema que no este en uso.
─Preferentemente no tener publicado el servicio de escritorio remoto a Internet y de ser necesario, utilizar un puerto no estándar o, mejor aún, que solo sea accesible mediante conexiones de red seguras como son las VPN.
─Tener actualizado los equipos con todos los parches de seguridad correspondiente (recomendamos particularmente corregir ahora las vulnerabilidades conocidas hasta la fecha.
─Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. Este punto es clave, ya que de existir esta protección, en este caso la infección no se podría llevar a cabo.
─Contar con una política de Backus que aloje los mismos dentro de sistemas protegidos y preferentemente aislados.
─Realizar auditorias de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.
Es importante destacar que a la fecha no existe una manera viable de poder recuperar los archivos cifrados, por lo que es de suma importancia que se apliquen las recomendaciones antes mencionadas.
Las diferentes variantes de este RANSOM PORNCHILD cifran los ficheros y añaden las siguientes extensiones, según variante:
- .Crypt ─ 1era variante de esta familia, cifra los ficheros.
- .EXE ─ 2da variante que empaqueta los ficheros en un RAR autoextraíble con clave compleja.
- .OMG ─ 3era y la última conocida hasta la fecha, ofrece pantalla de pago por rescate.
Ojala que con lo indicado puedan evitar a futuro la posible la entrada de estos ransomwares o por lo menos disponer de la copia de seguridad para evitar daños mayores.
Este es el mensaje que les aparece:
No hay comentarios:
Publicar un comentario