CSIRT Panam\u00e1 Aviso 2018-03-23 Variante de ransomware Dharma<\/p>\n
Gravedad: Alta
\nFecha de publicaci\u00f3n: 23 marzo 2018
\nFecha de modificaci\u00f3n: 23 marzo 2018
\n\u00daltima revisi\u00f3n: Revisi\u00f3n B.
\nFuente: Sensors Tech Forum, Ransomware.wikia.com<\/p>\n
Sistemas Afectados
\nSistemas operativos Microsoft Windows.<\/p>\n
I. Descripci\u00f3n
\nEl ransomware es un tipo de c\u00f3digo malicioso que se caracteriza por cifrar los archivos de un disco duro al infectar una m\u00e1quina; una vez que los archivos de la m\u00e1quina infectada se encuentren cifrados el ransomware muestra en pantalla una nota de rescate solicitando un pago, generalmente en monedas digitales como el bitcoin, a cambio de descifrar los archivos secuestrados.
\nDesde marzo del 2018 han reportado infecciones por una variante del ransomware Dharma que utiliza la extensi\u00f3n. arrow.
\nAunque existen diversos vectores de infecci\u00f3n, el ransomware Dharma es usualmente propagado mediante correos no deseados (spam), que contienen un adjunto malicioso que al ser abierto por un usuario infecta a la m\u00e1quina. Este archivo adjunto malicioso se hace pasar como una orden de compra, documentos bancarios u otro tipo de archivo que puede parecer importante, para lograr disuadir al usuario a abrirlo. A la fecha no existe forma de descifrar los archivos infectados por esta variante.<\/p>\n
Comportamiento del ransomware Dharma .arrow
\nCuando la infecci\u00f3n ocurre, el ransomware realiza una preparaci\u00f3n del sistema como, por ejemplo:
\n\u2022\tCambio de algunos archivos del sistema de Windows para obtener privilegios de administrador.
\n\u2022\tInteracci\u00f3n con el editor de registros de Windows.
\n\u2022\tEliminaci\u00f3n de respaldos de sistema, as\u00ed como las copias \u201cShadow Volume\u201d.
\n\u2022\tCambio de fondo de pantalla y programaci\u00f3n autom\u00e1tica de nota de rescate para notificar en pantalla que los archivos han sido secuestrados.<\/p>\n
Recomendaciones de prevenci\u00f3n<\/p>\n
– Evitar abrir archivos adjuntos o enlaces de Internet de procedencia sospechosa o desconocida. Tambi\u00e9n pueden ocurrir casos donde se reciben correos maliciosos de contactos conocidos (donde ocurre una falsificaci\u00f3n de identidad), por lo que se recomienda confirmar con la fuente si en verdad envi\u00f3 el adjunto, esto se debe realizar en persona\/tel\u00e9fono o en un correo aparte del recibido, ya que al responder un correo malicioso con identidad falsificada la respuesta se redirigir\u00eda al atacante y no al verdadero usuario del correo.<\/p>\n
– Evitar abrir enlaces sospechosos en Internet. Antes de hacer click en un enlace se puede revisar hacia d\u00f3nde redirige solamente colocando el mouse sobre el enlace sin hacer click y se mostrar\u00e1 en pantalla o en la parte inferior el verdadero enlace de la p\u00e1gina.<\/p>\n
– Realizar respaldos frecuentes, probarlos y almacenarlos sin acceso a Internet o a la red, ya que al infectar una m\u00e1quina con acceso a un servidor se pueden cifrar tambi\u00e9n archivos del servidor.<\/p>\n
– Actualizar herramientas anti-virus y anti-malware, y correr escaneos de forma regular.<\/p>\n
– Implementar pol\u00edticas de filtrado de correo por el tipo de extensi\u00f3n de los archivos adjuntos. Se deben bloquear todos los adjuntos con extensiones .exe y .scr<\/p>\n
– Monitoreo constante de la actividad de conexi\u00f3n de los equipos en red para detectar alg\u00fan comportamiento o tr\u00e1fico inusual.<\/p>\n
– Todo el personal funcionario de la instituci\u00f3n que utilice computadora personal, laptop, celular, tableta y\/o cualquier dispositivo que le permita tener acceso al servicio de correo e Internet debe estar informado y capacitado en las campa\u00f1as de concienciaci\u00f3n sobre las infecciones de c\u00f3digo malicioso, los correos sospechosos, correos fraudulentos, enlaces acortados y temas relacionados, para evitar que mediante ingenier\u00eda social y falsificaci\u00f3n de identidad sean v\u00edctimas de un ataque por correo electr\u00f3nico.<\/p>\n
Para mayor informaci\u00f3n, referirse a la “secci\u00f3n III. Referencia a soluciones, herramientas e informaci\u00f3n”.<\/p>\n
II. Impacto
\nComplejidad de Acceso: Media.
\nAutenticaci\u00f3n: No requerida para explotarla.
\nTipo de impacto: P\u00e9rdida de archivos.<\/p>\n
III. Referencia a soluciones, herramientas e informaci\u00f3n
\na. https:\/\/sensorstechforum.com\/arrow-files-virus-dharma-ransomware-remove-restore-files\/
\nb. https:\/\/ransomware.wikia.com\/wiki\/Dharma_Ransomware_Family
\nc. https:\/\/id-ransomware.malwarehunterteam.com
\nd. https:\/\/www.nomoreransom.org<\/p>\n
IV. Informaci\u00f3n de contacto
\nCSIRT PANAMA
\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental
\nE-Mail: info@cert.pa
\nWeb: http:\/\/www.cert.pa<\/p>\n","protected":false},"excerpt":{"rendered":"
CSIRT Panam\u00e1 Aviso 2018-03-23 Variante de ransomware Dharma Gravedad: Alta Fecha de publicaci\u00f3n: 23 marzo 2018 Fecha de modificaci\u00f3n: 23 marzo 2018 \u00daltima revisi\u00f3n: Revisi\u00f3n B. Fuente: Sensors Tech Forum, Ransomware.wikia.com Sistemas Afectados Sistemas operativos…<\/p>\n","protected":false},"author":5,"featured_media":295,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[43,13,8,72,30,64,45],"class_list":["post-1176","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-alertas","tag-aviso","tag-avisos","tag-avisos-de-seguridad","tag-ransomware","tag-seguridad","tag-windows"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1176","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1176"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1176\/revisions"}],"predecessor-version":[{"id":1177,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1176\/revisions\/1177"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/295"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1176"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1176"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1176"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}