Pregunta:
¿Cómo llega el ransomware a las computadoras de las personas?
Tomáš Zato - Reinstate Monica
2016-04-13 13:43:10 UTC
view on stackexchange narkive permalink

He notado una mayor frecuencia de preguntas sobre ransomware en Stack Exchange. Algunas de las personas que conozco de forma remota también han infectado sus dispositivos recientemente.

Estoy empezando a preocuparme. Cuando la gente me pregunta cómo evitar los virus, normalmente les digo cosas como no descargar archivos de sitios web sospechosos y adjuntos que no sean documentos. Pero, ¿es realmente correcto por mi parte suponer que las personas que se infectaron ejecutaron archivos sospechosos en su computadora?

Esta preocupación surge especialmente ahora cuando veo preguntas de personas que se infectaron aquí en Stack Exchange, es decir, técnicamente conscientes las personas son obviamente igual de vulnerables.

¿Cómo es posible que el ransomware llegue a sus computadoras? ¿Cuál es una buena forma de evitar que esto suceda?

`Lista de personas a ser despedidas.xls.exe`
@AndréBorie: es exactamente por eso que me sorprende que la configuración predeterminada en Windows sea "Ocultar extensiones para tipos de archivo conocidos".Esa es una idea tan seriamente mala, me sorprende que alguien * no * haya sido despedido por eso.Lo primero que cambio en cualquier instalación nueva.
Los comentarios no son para una discusión extensa;esta conversación se ha [movido al chat] (http://chat.stackexchange.com/rooms/38366/discussion-on-question-by-tomas-zato-how-does-ransomware-get-on-peoples-compute).
@AndréBorie Sentí lo mismo acerca de cómo los archivos .exe pueden configurar sus íconos para parecerse a los documentos y la ejecución automática está habilitada para unidades USB.Las malas decisiones persisten a lo largo de los años.
Cuatro respuestas:
tekybala
2016-04-13 15:46:34 UTC
view on stackexchange narkive permalink

Según el Informe trimestral de IBM X-Force Threat Intelligence, cuarto trimestre de 2015, las principales fuentes de ataque de ransomware son las vulnerabilidades sin parches, las infecciones no autorizadas y los correos electrónicos de spear-phishing:

Primary vectors are the source of ransomware infections.

Fuente: IBM X-Force

Cómo prevenir ataques de ransomware

Educación del usuario

Eduque a sus usuarios para que no descarguen archivos de contactos desconocidos. Por lo general, el ransomware se envía en correos electrónicos reclamando facturas pendientes con documentos de Word. Cuando abra el documento, el ransomware se instalará y comenzará a hacer su trabajo.

Escanear y filtrar servidores de correo

Escanee sus servidores de correo para evitar que los intentos de phishing lleguen a los destinatarios previstos.

Realice copias de seguridad de los datos con regularidad

Asegúrese de realizar copias de seguridad de sus datos importantes con regularidad y protegerlos. Esto le ayudará a evitar pagar el rescate y reducir el tiempo de recuperación.

¿Vulnerabilidad? Parche el software crítico y el sistema operativo de inmediato

Parchee su software crítico como su navegador, complementos de navegador, clientes de correo electrónico y sistemas operativos inmediatamente después de recibir una notificación. ¿Sabías que la filtración de los Papeles de Panamá (2,6 TB de datos) se produjo debido a de servidores web vulnerables y servidores de correo?

Observe el crecimiento del ransomware en los últimos tres años:

Number of samples of ransomware

Fuente: McAfee Labs, 2015.

@immibis, no, eso no fue dirigido a usted - eso fue dirigido a cada comentario en el hilo * excepto * el suyo.Estoy de acuerdo con tu comentario.Podría considerar sugerir una edición de la respuesta que incluya esa información, si cree que sería útil agregarla a la respuesta.
Tenga en cuenta que algunos programas maliciosos [se disfrazan de actualizaciones de software] (http://www.zonealarm.com/blog/2015/03/software-update-malware/).Así que no haga clic de inmediato antes de saber en qué está haciendo clic.
El ransomware también puede atacar sus copias de seguridad, así que elija soluciones de copia de seguridad que no permitan sobrescribir los archivos de la copia de seguridad.http://www.theregister.co.uk/2016/03/22/pc_world_knowhow_shortcomings/ y http://security.stackexchange.com/questions/131708/is-windows-10-backup-safe-from-ransomware
Tobi Nary
2016-04-13 13:54:27 UTC
view on stackexchange narkive permalink

Si bien las medidas que describe en su pregunta no son incorrectas, tampoco son correctas:

  • Los documentos tampoco son seguros para abrir.

    • A menudo, los exploits vienen en forma de interestingFile.txt.exe.

      Windows oculta el .exe de forma predeterminada para los usuarios potenciales pensar que es solo un archivo de texto cuando de hecho ejecutan código.

      Hay otras formas de evitar que el usuario reconozca el código ejecutable como tal. Por ejemplo, usando Unicode y la marca de derecha a izquierda también, como PlasmaHH sugirió en los comentarios.

    • Existe una variedad de malware de macro para productos de Office.

  • Explotaciones no autorizadas

    Esos son una amenaza real para todos, no solo para el uso de 2-3 sitios web y para todos los que siguen ciegamente los enlaces.

    Esto es especialmente cierto ya que hay (¿muchos?) Exploits de día cero que son desconocidos para el público y, por lo tanto, No arreglado todavía. Incluso hay eventos como pwn2own, que muestran tales explotaciones en vivo, yendo a un sitio web preparado, eso puede ser.

De hecho, como Philipp señala correctamente en los comentarios, las infecciones pueden ocurrir básicamente en cualquier sitio web que incluya contenido de otro lugar, por ejemplo, anuncios.

La otra parte de su pregunta tiende a ser

¿Por qué hay tanto ransomware ahora y antes no había tantas infecciones?

Bueno, porque el ransomware tiende a ser más rentable que usar infecciones para establecer una red de bots, que por lo general pasaba desapercibida para la mayoría de los usuarios (y ese era el punto).

Por lo tanto, no ha habido un aumento real de las infecciones, solo un aumento en la visibilidad de las infecciones.

Para abordar la pregunta sobre el sistema operativo de los comentarios

Windows suele ser, ya que tiene la mayor participación de mercado, el objetivo más frecuente (por todo el malware), pero el ransomware también existe para sabores * NIX. Esto incluye Mac OS X y Linux.

Si no me equivoco, se ha demostrado que Mac OS X está siendo explotado desde el interior de este año como Pwn2Own.

Ya ha habido casos de infecciones de malware no autorizadas en sitios web de gran reputación.Por lo general, provienen de anuncios de terceros.
@Philipp [como los agregados que tenía Forbes] (http://www.extremetech.com/internet/220696-forbes-forces-readers-to-turn-off-ad-blockers-promptly-serves-malware)
Esa no es la única razón por la que Windows es atacado: la extensión oculta y la facilidad de ejecución de archivos son problemas AFAIK
@tim El proceso de instalación no importa, los archivos ejecutables individuales se pueden ejecutar en cualquier lugar.Lo que sí hace una pequeña diferencia es que los sistemas * nix usan permisos de archivos ejecutables, en lugar de solo una extensión, sin embargo, lo colocan en un archivo zip / tar / dmg / etc.puede conservar estos permisos.OS X también tiene una función incorporada para advertirle si intenta ejecutar un archivo descargado, incluso desde un zip / DMG / etc.
@AlexanderO'Mara Curiosamente, Windows también advierte si ejecuta un archivo ejecutable descargado, incluso extraído con la herramienta zip incorporada, siempre que el navegador establezca los ADS de 'fuente insegura'.Sé que IE y Firefox lo hacen, no estoy seguro de Chrome.Por supuesto, a estas alturas los usuarios están básicamente entrenados para ignorar esas advertencias.
アリスター
2016-04-14 10:26:37 UTC
view on stackexchange narkive permalink

¿Está a salvo del ransomware simplemente por no descargar archivos sospechosos?

Desafortunadamente, es un error asumir que está a salvo del ransomware simplemente por no descargar archivos de sitios web sospechosos.

Como ejemplo, el mes pasado, la versión OS X del popular cliente BitTorrent Transmission (v2.90) fue infectada con ransomware. Esta versión infectada de Transmission se distribuyó a través del sitio web oficial de Transmission (su servidor principal estaba comprometido) durante uno o dos días, por lo que cualquiera que la descargara en ese momento habría sido infectado. Sorprendentemente, intentar actualizar dentro de la aplicación (Transmission usa el marco Sparkle) habría sido seguro, ya que los atacantes aparentemente no actualizaron la suma de comprobación para Sparkle en la versión comprometida, lo que provocó el (potencialmente automático ) la actualización en la aplicación falla con una discrepancia de firma.

Desafortunadamente, este ransomware casi me atrapa. Debido a una vulnerabilidad en el marco Sparkle que se reveló recientemente en ese momento, estaba actualizando manualmente todas mis aplicaciones que usaban el marco Sparkle en lugar de actualizarlas en la aplicación, y eso incluía la actualización a Transmission v2. .90 descargándolo manualmente desde el sitio web oficial. Solo logré salir ileso gracias a que lo descargué unos días antes de que ocurriera el compromiso del servidor. Honestamente, estaba bastante asustado cuando me enteré del compromiso unos días después. Yo diría que aprendí una lección valiosa aquí, que fue que nunca puedes confiar ciegamente en una aplicación que has descargado de Internet, incluso de desarrolladores en los que confías (a menos que examines el código fuente tú mismo). .

Mitigar el daño del ransomware

El problema con el ransomware es que cifra todos sus archivos. Si tiene una forma de evitar que las aplicaciones puedan leer o escribir en cualquier archivo arbitrario en su sistema (ejecutando todas las aplicaciones descargadas en una caja de arena, por ejemplo), eso debería esencialmente hacer que el ransomware sea benigno. En Windows, puede proteger las aplicaciones con Sandboxie. En OS X, puede interceptar todas las lecturas y escrituras de las aplicaciones que se ejecutan en su sistema con Hands Off! (demostrado aquí).

Otra solución es para usar Qubes OS, que es un sistema operativo que esencialmente le permite hacer sandbox en diferentes actividades / aplicaciones dentro de diferentes máquinas virtuales de una manera muy elegante. También admite el uso de Windows 7 dentro de una de esas máquinas virtuales.

La última vez que miré a Hands Off, tenía problemas en los que causaría muchos puntos muertos del kernel, especialmente bajo un uso intensivo como compilar Python desde la fuente (afirman haber realizado correcciones de rendimiento, pero no lo he probado nuevamente).Un shell de root (común con los instaladores de pkg) también podría descargarlo sin problemas sin siquiera una advertencia.Intenté comunicarme con ellos sobre el primer problema, pero no obtuve respuesta, así que me di por vencido.
Verificar el código fuente no es suficiente, también debe verificar que el binario que está utilizando se creó realmente a partir de ese código fuente.En el caso de que el servidor de descarga se vea comprometido, el binario reemplazado probablemente no coincidirá con el código fuente adjunto (si hay algún código fuente).La forma más fácil de examinar es compilar el código fuente usted mismo, usando un compilador confiable, y luego usar ese binario en lugar del precompilado.Si no hay ningún código fuente disponible, la descompilación (es posible que no esté permitida, según la licencia) o los binarios firmados también pueden funcionar.
@8bittree me recuerda a portage (creo que ese es el nombre de la herramienta, en un código fuente que adora Linux)
gabe3886
2016-04-13 15:23:52 UTC
view on stackexchange narkive permalink

La parte de su pregunta sobre cómo llega allí ya ha sido bien respondida, así que buscaré algunas formas de protegerse, aunque la única forma de estar realmente seguro es no usar una computadora conectada a Internet, ya que incluso los siguientes no son 100% seguros.

  • No abra ningún documento desde cualquier lugar a menos que haya estado esperando recibirlo y de esa persona / empresa específica.
  • Si no quieres ser tan paranoico, solo abre documentos de fuentes confiables, es decir, personas que conoces y con las que te comunicas con frecuencia *, o de un sitio web en el que confíes y hayas solicitado explícitamente un documento para descargar (o enviar uno para usted).
  • Cuando navegue por Internet, hágalo en una máquina virtual ^. Tenga una imagen estándar que clone antes de navegar, independientemente de si se trata de sitios web en los que siempre confía. Una vez que haya terminado, elimine el clon para que cualquier infección que haya detectado haya desaparecido y aún tenga la instalación estándar.
  • Mantenga una copia de seguridad de todo lo que valora. No confíe siempre en proveedores externos de la nube, ya que es posible que no conserven los documentos durante el tiempo que indiquen, o incluso que tengan un control de versiones para volver a un punto en el tiempo en el que no estaba infectado.
  • Mantenga su computadora actualizada. Muchos ataques dependerán de las vulnerabilidades de determinadas aplicaciones. Si se reparan, no pueden funcionar a través de ese vector. Si no actualiza su software, deja esos agujeros abiertos.

Probablemente haya muchos más, pero estos son los que le vienen a la mente de inmediato.

* Menciono la parte de la comunicación frecuente para las personas que conoce, ya que si se infectan pueden terminar enviando correos electrónicos con archivos adjuntos infectados sin su conocimiento. Si normalmente no recibe un correo electrónico o un archivo adjunto de ellos, no confíe en él.

^ Este es un camino bastante largo y no es una opción para mucha gente, o no es deseable para la mayoría

Me interesaría saber por qué quien me rechazó lo hizo.Si hay información sobre esta respuesta que es incorrecta o engañosa, sería útil para mí y para los demás saberlo.No me preocupa la reputación, pero me interesa ser educado
No hay voto negativo aquí, pero las máquinas virtuales no siempre son tan seguras como parecen, [escape de la máquina virtual] (https://en.wikipedia.org/wiki/Virtual_machine_escape) existe.No creo que sea un secreto que un sistema operativo se esté ejecutando en una máquina virtual, por lo general hay "complementos" que facilitan cosas como compartir archivos o el portapapeles.
@Xen2050 es una de las razones para afirmar desde el principio que los métodos enumerados no son 100% seguros.Estoy bastante seguro de que se podría escribir un libro sobre las formas de protegerse del ransomware y las trampas de cada defensa individual.
Incluso las máquinas con espacio de aire no están del todo a salvo del malware, solo pregúntele al programa nuclear iraní (Stuxnet).
@Xen2050, esto * podría * * realmente * ayudar * - anecdóticamente, veo muchos informes de malware que evita intencionalmente atacar cuando detecta que está en una máquina virtual, aparentemente porque esto retrasa y dificulta la detección por parte de IDS / IPS, proveedores de AV y otros defensores.
@dave_thompson_085 que suena prometedor, incluso como un "truco" para hacer que su sistema operativo regular que no sea VM le diga a los programas cuestionables que es una VM puede confundir a los programas para evitar que lo infecten ...
¿Cuántos ransomwares intentan escapar de las máquinas virtuales?Creo que, aunque es teóricamente posible, no valdría la pena el esfuerzo de hacerlo, ya que el grupo objetivo que navega en las máquinas virtuales es bastante pequeño.
@Christian Supongo que muy pocos, sin embargo, existe el riesgo de que la máquina virtual tenga acceso a una unidad compartida, lo que podría causar problemas y podría extenderse desde allí.Probablemente no valdría la pena el esfuerzo de escapar de las máquinas virtuales como tales, pero copiar el ransomware a cualquier cosa que parezca una carpeta compartida como una ruta de escape (o una ruta hacia más daños) probablemente valdría la pena.


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...