En relación a este incidente ESET ha desarrollado el siguiente documento que en gran parte cubre las inquietudes que podrían tener:

 

 

1) ¿Por qué me infecté?

 

La infección comenzó a través de una campaña de spam que llegó a la bandeja de entrada de algún usuario de la compañía. Para una infección exitosa, es necesario que un usuario abra un archivo adjunto, en este caso con extensión .scr.

 

Si el equipo infectado estaba protegido por un antivirus, la infección solo puede realizarse si la base instalada del producto no detectaba las variantes involucradas en este ataque, ya sea por falta de actualización del equipo o por tratarse de una nueva variante.

 

En esta campaña en particular, ESET detecta la amenaza Win32/FileCoder.DA (CTB-Locker, amenaza que cifra los archivos) desde el día 19 de enero por la mañana con su base de firmas 11037 y el troyano Win32/TrojanDownloader.Elenoocka.A (el que descarga la amenaza primaria) desde el mismo día en la base de firmas posterior, la 11039.

 

2) ¿Otros productos me hubiesen protegido mejor?

 

ESET fue una de las primeras casas antivirus en detectar esta oleadas de ataques, crear las firmas para su producto y notificar a la comunidad a través de su plataforma de noticias We Live Security (http://www.welivesecurity.com/la-es/2015/01/20/ctb-locker-ransomware-ataca-nuevo/).

 

3) ¿Por qué no puedo recuperar mis archivos?

 

La amenaza cifra los archivos con un algoritmo público protegido por una contraseña fuerte, por lo que no es posible descifrar los archivos perdidos sin conocer dicha clave. El algoritmo de cifrado es lo suficientemente fuerte para propiciar el modelo de negocio del cibercriminal. En estos casos, se recomienda restaurar el último backup disponible para recuperar la información.

 

4) ¿Qué está haciendo ESET con respecto a esta situación?

 

Nuestro Laboratorio de Investigación único en la región opera diariamente para identificar y detectar rápidamente las nuevas variantes de malware. Como en otras oportunidades, el mismo día lunes el equipo identificó la campaña de propagación, se generaron las detecciones para las mismas para el producto y, posteriormente, se trabajó en la generación de materiales públicos y para nuestros equipos de soporte y clientes con el ánimo de mantener informada a la comunidad sobre los ataques.

 

5) ¿Qué recomendaciones y/o acciones se proponen para evitar que la situación se repita?

 

En términos de producto, esta son las recomendaciones de seguridad para evitar estos incidentes:

 

Asegurarse que todos los usuarios en la red cuenten con la versión más reciente y actualizada del antivirus.

Asegurarse que el Live Grid está activado (Se puede utilizar CloudCar para probar que esta protección esté activa: http://www.amtso.org/check-desktop-cloud-lookups 

Con Live Grid activo, debe activarse también la heurística avanzada para los archivos ejecutados (Antivirus y antispyware -> Protección del sistema de archivos en tiempo real -> Configuración Avanzada)

Revisar que no haya configuraciones inadecuadas (exclusiones, protección en tiempo real, protección web, etc.).

En caso de contar con un servidor de correos propio, se puede aplicar una capa de protección adicional al habilitar la detección de adjuntos potencialmente peligrosos dentro de nuestro producto ESET Mail Security para Exchange que debería detener la mayoría de los correos de spam que contienen amenazas.

 

Por otro lado, hay dos medidas adicionales que la empresa debe trabajar para minimizar el riesgo ante estos ataques. Como medida preventiva, es importante remarcar la importancia de la concientización de los usuarios (Jornadas de Awareness), estos ataques poseen componentes de Ingeniería Social y siempre hay intervención involuntaria del usuario que colabora con la infección. Por otro lado, en términos de remediación, es fundamental contar con backup de los activos de información de la compañía para poder restaurar rápidamente ante situaciones de este tipo.

 

En cuanto a posibles medidas adicionales existen casos de relativo éxito de recuperación de archivos, pero no porque se puedan desencriptar, sino porque se puedan ubicar copias eliminadas del mismo previo al cifrado en el disco duro de la máquina afectada, para ello herramientas de recovery podrían ser una opción.

 

Una de las más populares y gratuitas en la red es:

 

https://www.piriform.com/recuva/builds

 

Sin embargo esto es una sugerencia que damos en caso de que el usuario no tenga ningún tipo de respaldo y como última instancia, pero no es algo que esté dentro del alcance de lo que sería la solución de seguridad.

 

 

 

Quedamos atentos a sus comentarios.