Estas semanas los "virus" del tipo ransomware se están volviendo a disparar y se están recibiendo muchas alertas de nuevos casos de gente a la que le han secuestrado sus datos:
El proceso del ataque es el mismo que el del caso de hace un año:
1. El usuario recibe un email de correos de un dominio extraño, indicando que tiene que descargar las instrucciones para recoger un paquete, y que si no lo hace tendrá que pagar una multa de 79€ !! (el año pasado eran solo de 7€ . Han multiplicado x10 la tarifa, se ha acabado la crisis! )
2. Al hacer click en el enlace, se descarga y ejecuta un archivo .SWF que se ejecuta en background y empieza a encriptar todos los datos que hayan en el equipo que se ejecuta.
3. Una vez ha acabado, muestra una ventana con las instrucciones para pagar el rescate y recuperar los datos.
Como la última vez:
Que hacer como Admin?
- Tener los backups al día
- Detectar y bloquear los posibles orígenes de los emails.
- Informar a todo el personal de la empresa que no abran este correo.
- Estar a punto para cuando las empresas de antivirus saquen la firma de este nuevo virus y actualizar todos los equipos lo antes posible.
Y para los equipos ya infectados?
No queda otra que tirar de copias de seguridad.
Como se podría haber evitado?
Igual que la vez anterior, se trata de un Day-0, están pasando todas las medidas de seguridad, aunque algunos caso el usuario ha hecho todo lo posible de su parte para infectarse.
La mejor manera que veo es educar al personal para detectar este tipo de emails y no caer en la trampa.
Gracias. En mi empresa también nos ha tocado de cerca y como dices la mejor solución es prevenir a los usuarios. Pero si podemos aprender algo de todo esto es la mala gestión de los antiviurs y su funcionamiento en si. Todos, o los más avanzados tienen tareas de escaneado heurístico, -y presumen bastante de ello- pero ha quedado claro que no cumplen bien su función. Deberían poder compartir la información de los infectados para buscar mecanismos de protección o limitar su propagación y tambien buscar en otras areas (conexion a internet, semàntica estructural de los emails...) para mi su efectividad esta claramente comprometida. No sirve de nada tener un antivirus que no detecte los virus más destructivos. La amenaza es siempre lo nuevo, para lo viejo creo que Windows Defender ya pilla el "I love you" :)
ResponderEliminarTienes toda la razón. En este caso ninguno de los antivirus endpoint que he probado han sido capaces de detectar este malware hasta unos cuantos días después.
ResponderEliminar