{"id":248,"date":"2015-05-28T09:52:05","date_gmt":"2015-05-28T14:52:05","guid":{"rendered":"https:\/\/10.252.76.154\/?p=248"},"modified":"2015-10-15T21:06:17","modified_gmt":"2015-10-16T02:06:17","slug":"csirt-panama-aviso-2015-05-informacion-acerca-de-ransomware","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=248","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2015-05- Informaci\u00f3n acerca de Ransomware"},"content":{"rendered":"

CSIRT Panam\u00e1 Aviso 2015-05- Informaci\u00f3n acerca de Ransomware
\nGravedad: ALTA
\nFecha de publicaci\u00f3n: Mayo, 2015
\nFecha de modificaci\u00f3n: Mayo, 2015
\n\u00daltima revisi\u00f3n: Revisi\u00f3n B \u2013 Mayo 2015.<\/p>\n

I. Sistemas Afectados
\nWindows en todas sus versiones, tanto de escritorio como de servidor. Esto incluye Linux y MacOS que est\u00e9n ejecutando de forma virtual alguna versi\u00f3n de Windows.<\/p>\n

II. Descripci\u00f3n
\nRansomware (software malicioso de secuestro de informaci\u00f3n), es un tipo de c\u00f3digo malicioso que restringe el acceso a los archivos del usuario mediante el cifrado de la informaci\u00f3n contenida en un computador. Luego de esto, el malware demanda el rescate de estos archivos a trav\u00e9s un pago electr\u00f3nico (bitcoins, por ejemplo) para poder habilitar el descifrado de los archivos secuestrados. Las im\u00e1genes 1 y 2 muestran distintos avisos utilizados por los ransomware m\u00e1s populares, al momento de cifrar los archivos de la v\u00edctima.<\/p>\n

\"ctb-locker-la\"<\/a><\/p>\n

III. Impacto
\nVector de acceso: A trav\u00e9s de red \u2013 remoto
\nComplejidad de Acceso: Baja
\nAutenticaci\u00f3n: Se requieren permisos de instalaci\u00f3n y ejecuci\u00f3n de programas.
\nTipo de impacto: Compromiso total\/parcial de la disponibilidad y confidencialidad de los archivos del usuario\/servidor.<\/p>\n

\"ctb-locker-variante\"<\/a><\/p>\n

IV. Detecci\u00f3n
\nEs posible detectar y eliminar variantes de programas de rescate mediante barridos\u00a0frecuentes con herramientas antivirus y antimalware actualizadas. Una buena implementaci\u00f3n de pol\u00edticas de filtrado de correo y cortafuegos permiten el descarte de fuentes maliciosas a las que el usuario puede acceder para la descarga e instalaci\u00f3n involuntaria del ransomware.<\/p>\n

\u00bfC\u00f3mo se reconoce?
\nUn m\u00e9todo com\u00fan para infectar a usuarios con un ransomware es mediante correos. Se debe sospechar de fuentes desconocidas y correos en otros idiomas. Sin embargo es posible que el correo provenga de alg\u00fan contacto conocido, se debe confirmar por otra v\u00eda (sin responder al correo de sospecha) sobre el env\u00edo del adjunto. Algunos correos viene con el asunto fax. Otro m\u00e9todo de infecci\u00f3n es al hacer click en un enlace que redirecciona a una p\u00e1gina que realiza la descarga de forma autom\u00e1tica. Se debe revisar primero hacia d\u00f3nde dirige la p\u00e1gina antes de hacer click en el enlace.<\/p>\n

\"ransomware-propagation\"<\/a><\/p>\n

\"Correo<\/a><\/p>\n

V. Recomendaciones<\/p>\n