fbpx
Seleccionar página

7 Medidas para evitar que el ramsonware secuestre tu empresa. (Parte II)

Tras el diagnostico el analisis y las primeras medias del primer post, como te prometimos aqui te traemos el resto de medidas estas un poco mas complejas, esperando como siempre que te sea de utilidad a ti y a tu empresa

Medidas a implementar para prevenir infección de cualquier Ransomware

3.- Vacunas y politicas de seguridad

CryptoPrevent (Básicamente aplica políticas de seguridad con GPO)
Raccine Equivalente a una vacuna en la vida real, detecta camios y llamadas al ejecutable vssadmin.exe (y wmic.exe) para eliminar la posibilidad de restaurar las versiones anteriores de los ficheros y las instantaneas de windows o shadow copies para evitar que la victima no pueda tirar de ningun backup anterior del sistema

4.-Desactivar Windows Script Host

Opcion 1

En el registro de windows viajar a la carpeta MicrosoftWindows Script HostSettings en esta ruta HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Script HostSettings

Crear un nuevo valor DWORD denominado «Enabled» y establezca los datos de valor a «0«.

Opcion2

Descargar de recitoners el archivo rt seguridad que incluye el archivo desactivar w_host.batt asi como otras herramientas aqui mostradas en descargas de recitoners y ejecutarlo.

5.-Desactivar macros Microsoft Office

Microsoft tiene una opcion de habilitar contenido cuando visualiza una macro, si tiene dudas solo tiene que pulsar mayusculas y el macro no funcionara. Si desesa desactivar las macros de forma permanente:

  • clic en la pestaña Archivo.
  • Opciones.
  • Centro de confianza —> Configuración del Centro de confianza. –>Configuración de macros.
  • Deshabilitar todas las macros con o sin notificacion, como prefieras.

6.-Evitar que los usuarios red ejecuten Powershell a través de GPO

La politica por defecto del scrip de powershell es:

RemoteSigned» para servidores, 

«Restricted» para no servidores

 «Unrestricted» 

para aquellos sistemas operativos que dependan de Active Directory pero no sean Windows. No obstante al no haber definido «scopes» en la ejecucion de scrips un usuario malicioso o pograma cambiar las politicas de forma escalonada obteniendo permisos suficientes para la ejecucion de sofware malicioso remotamente incluso sin escalar privilegios.

Para mitigarlo habria que subir mediante politicasa»ALLSIGFED» mediante politicas de grupo.

gpedit.msc

Configuración del equipo –> Plantillas administrativas –> Componentes de Windows –> Windows PowerShell–>Activar la ejecución de scripts

Elige Habilitar y una opción de Directiva de ejecución:

gpedit.msc

Configuración del equipo –> Plantillas administrativas –> Componentes de Windows –> Windows PowerShell–>Activar la ejecución de scripts

Elige Habilitar y una opción de Directiva de ejecución:

Permitir solo scripts firmados
Permitir scripts locales y scripts remotos firmados
Permitir todos los scripts


O bien si eliges Activar la ejecución de scripts –> «Deshabilitada » –> Si deshabilita esta configuración de directiva, no se permitirá la ejecución de ningún script

gpedit.msc :
Configuración de usuario –> Plantillas administrativas –> Sistema
Doble click en:No ejecutar aplicaciones de Windows especificadas
Hacer click en «Habilitada»

Lista de aplicaciones no permitidas –>Mostrar –>  Valor –> powershell.exe

No ejecutar aplicaciones de Windows especificadas
Hacer click en «Habilitada»

Lista de aplicaciones no permitidas –>Mostrar –>  Valor –> powershell.exe

7. Configurar Archivos comartidos y copias seguridad

Windows Server es vulnerable al ransomware mediante los archivos compartidos por varios usuarios. Si el ordenador o carpeta de un usuario se infecta , puede cifrar datos en ese dispositivo y utilizar los permisos para cifrar el contenido de cualquier unidad de servidor de archivos asignada a ese dispositivo.

Como practica recomendada se debe restringir a los usuarios al uso de solo los archivos que necesitan, contabilidad no tiene que poder acceder a los documentos de diseño y diseño no debe acceder a los de produccion.

En el punto de vista de las copias de seguridad se debe implementar la regla del 3,2,1.

tres copias de seguridad , si hubiera dos y se estuviera actualizando una sobre otra y sobreviene un corte de luz se perderian ambas

dos medios diferentes, por ejemplo un disco duro externo y el servidor

una ubicacion fisica diferente: proteccion frente a daños fisicos, incendios inundaciones.

SI has continuado hasta el final como un campeon, te felicito, el proximo lunes publicaremos la segunda parte.

Desde recitoners esperamos haberte sido de utilidad y como siempre nos tienes a tu disposicion para aydarte con tu informatica y consumibles en nuestros telefonos, tienda on line y correo habituales

Si tienes cualquier duda, podrás ponerte en contacto con nosotros a través de:

https://recitoners.net/948225989607449840informacion@recitoners.net 

.

7 Medidas para evitar que el ramsonware secuestre tu empresa. (Parte I)

La imagen tiene un atributo ALT vacío; su nombre de archivo es Ransomware-cabecera-2.png

Definicion


El ransomware es un malware que roba y secuestra tu informacion, mediante el cifrado completo de tu disco duro para solicitar un rescate monetario a cambio de una clave con la que poder desencriptar tu disco duro con tu informacion. Tambien suele eliminar las copias de seguridad de windows.

El delincuente genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave privada para descifrar los archivos secuestrados en su servidor. Sin esta clave la informacion es inaccesible siendo esta el activo mas valioso de las empresas.
La víctima solamente podrá acceder a la clave privada tras el pago de un rescate. Muchas veces pagar no sirve de nada.

Origen infeccion

La mayoría de las campañas de ransomware tienen su origen en la visita de una web con scripts maliciosos o por un ataque de phishing. Utilizar un antivirus en estos casos no sirve absolutamente de nada. Un firewall optimizado aumenta la proteccion.

Uno de los trucos para evitar el engaño en los correos consiste en temer activa la opcion del navegador: mostrar la extension real de un archivo por ejemplo un archivo puede simular ser un .pdf pero si esta activado veras que realmente es malicioso tipo .pdf.exe

Para activar esta proteccion ve a Panel de control,–> Apariencia y personalizaciónen el explorador–> Opciones de carpeta.

1.- Mostrar las extensiones de nombre de archivo
2.- Desactiva la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haz clic en Aceptar.
3.- Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Con este pequeño truco mejoraras la seguridad de tus correos.

Vectores de entrada del ataque

El ataque Aumenta los privilegios mediante el uso de exploits disponibles, como EternalBlue, o Badrabbit para ampliar los derechos de acceso. Esto permite a los ciberatacantes instalar programas como herramientas de administración en remoto (RATs, por sus siglas en inglés), y visualizar, cambiar o borrar datos, crear nuevas cuentas con todos los derechos de usuario, y desactivar el software de seguridad.

  • Movimientos laterales y búsqueda a través de la red de servidores de archivos y copias de seguridad mientras están bajo el radar, con el fin de lograr el mayor impacto posible del ataque de ransomware. En menos de una hora, los ciberatacantes pueden crear un script para copiar y ejecutar el ransomware en los servidores y endpoints de una red. Para acelerar el ataque, el ransomware es capaz de priorizar su ataque sobre unidades compartidas donde puede empezar por los documentos de menor tamaño y lanzar múltiples hilos en paralelo.
  • Ataques remotos. Los servidores de archivos, en sí mismos, no suelen ser el objeto de ataques de ransomware, sino que reciben el ataque a través de usuarios comprometidos que cifran sus ficheros. Sin embargo, en algunos de estos asaltos, el ataque se ejecuta generalmente en uno o más endpoints comprometidos, aprovechándose de una cuenta de usuario con privilegios para atacar documentos de forma remota, en ocasiones a través de protocolo de escritorio remoto (RDP, por sus siglas en inglés) o dirigiéndose a soluciones de gestión y monitorización remotas (RMM), que suelen utilizar los MSP (proveedores de servicios gestionados) para gestionar la infraestructura de TI de sus clientes y/o los sistemas de usuario final.

ante titulo de las medidas

Medidas a implementar para prevenir la infección de cualquier Ransomware

Para hacer mas practico y ameno hemos divido las 7 medidas en dos post para hacer mas facil la lectura y analisis

Como siempre, si deseas ayuda para implementarlas puedes llamar a recitoners y nos ocupamos de todo.

A continuacion te enumeramos las 2 primeras con sus descargas y en la segunda parte de este post las otras 5

1.-Habilitar el acceso controlado a las carpetas de Windows Defender integrado de forma gratuita en window 10

Pulsa Inicio, teclea «Centro de seguridad» en la ventana del Centro de Seguridad de Windows Defender –> Protección antivirus y contra amenazas, el icono del escudo a la izquierda.
Haz click en Configuración de antivirus y protección contra amenazas.–> Controla el acceso a la carpeta y marca la casilla Activado

2.- Instalar Herramientas específicas Anti-ransomware

Anti-Ransomware de Malwarebytes (Basado en CryptoMonitor)
HitmanPro
AppLocker de Microsoft
BDAntiRansomware de BitDefender

Estas aplicaciones y algunas mas las tienes de forma gratuita en https://recitoners.net/content/descargas

SI has continuado hasta el final e implementado los consejos como un campeon, te felicito, el proximo lunes desde RECITONERS publicaremos la segunda parte. y la segunda parte de las medidas aumentando su complejidad.

Desde recitoners esperamos haberte sido de utilidad y como siempre nos tienes a tu disposicion para aydarte con tu informatica y consumibles en nuestros telefonos, tienda on line y correo habituales

https://recitoners.net/948225989607449840informacion@recitoners.net 

.