CSIRT Panamá Aviso 2018-03-23 Variante de ransomware Dharma
Gravedad: Alta
Fecha de publicación: 23 marzo 2018
Fecha de modificación: 23 marzo 2018
Última revisión: Revisión B.
Fuente: Sensors Tech Forum, Ransomware.wikia.com
Sistemas Afectados
Sistemas operativos Microsoft Windows.
I. Descripción
El ransomware es un tipo de código malicioso que se caracteriza por cifrar los archivos de un disco duro al infectar una máquina; una vez que los archivos de la máquina infectada se encuentren cifrados el ransomware muestra en pantalla una nota de rescate solicitando un pago, generalmente en monedas digitales como el bitcoin, a cambio de descifrar los archivos secuestrados.
Desde marzo del 2018 han reportado infecciones por una variante del ransomware Dharma que utiliza la extensión. arrow.
Aunque existen diversos vectores de infección, el ransomware Dharma es usualmente propagado mediante correos no deseados (spam), que contienen un adjunto malicioso que al ser abierto por un usuario infecta a la máquina. Este archivo adjunto malicioso se hace pasar como una orden de compra, documentos bancarios u otro tipo de archivo que puede parecer importante, para lograr disuadir al usuario a abrirlo. A la fecha no existe forma de descifrar los archivos infectados por esta variante.
Comportamiento del ransomware Dharma .arrow
Cuando la infección ocurre, el ransomware realiza una preparación del sistema como, por ejemplo:
• Cambio de algunos archivos del sistema de Windows para obtener privilegios de administrador.
• Interacción con el editor de registros de Windows.
• Eliminación de respaldos de sistema, así como las copias “Shadow Volume”.
• Cambio de fondo de pantalla y programación automática de nota de rescate para notificar en pantalla que los archivos han sido secuestrados.
Recomendaciones de prevención
– Evitar abrir archivos adjuntos o enlaces de Internet de procedencia sospechosa o desconocida. También pueden ocurrir casos donde se reciben correos maliciosos de contactos conocidos (donde ocurre una falsificación de identidad), por lo que se recomienda confirmar con la fuente si en verdad envió el adjunto, esto se debe realizar en persona/teléfono o en un correo aparte del recibido, ya que al responder un correo malicioso con identidad falsificada la respuesta se redirigiría al atacante y no al verdadero usuario del correo.
– Evitar abrir enlaces sospechosos en Internet. Antes de hacer click en un enlace se puede revisar hacia dónde redirige solamente colocando el mouse sobre el enlace sin hacer click y se mostrará en pantalla o en la parte inferior el verdadero enlace de la página.
– Realizar respaldos frecuentes, probarlos y almacenarlos sin acceso a Internet o a la red, ya que al infectar una máquina con acceso a un servidor se pueden cifrar también archivos del servidor.
– Actualizar herramientas anti-virus y anti-malware, y correr escaneos de forma regular.
– Implementar políticas de filtrado de correo por el tipo de extensión de los archivos adjuntos. Se deben bloquear todos los adjuntos con extensiones .exe y .scr
– Monitoreo constante de la actividad de conexión de los equipos en red para detectar algún comportamiento o tráfico inusual.
– Todo el personal funcionario de la institución que utilice computadora personal, laptop, celular, tableta y/o cualquier dispositivo que le permita tener acceso al servicio de correo e Internet debe estar informado y capacitado en las campañas de concienciación sobre las infecciones de código malicioso, los correos sospechosos, correos fraudulentos, enlaces acortados y temas relacionados, para evitar que mediante ingeniería social y falsificación de identidad sean víctimas de un ataque por correo electrónico.
Para mayor información, referirse a la “sección III. Referencia a soluciones, herramientas e información”.
II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Pérdida de archivos.
III. Referencia a soluciones, herramientas e información
a. https://sensorstechforum.com/arrow-files-virus-dharma-ransomware-remove-restore-files/
b. https://ransomware.wikia.com/wiki/Dharma_Ransomware_Family
c. https://id-ransomware.malwarehunterteam.com
d. https://www.nomoreransom.org
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa