Parar Cryptolocker

14 abril 2015
Josep Ma Solanes 3

Esta semana ha sido muy dura profesionalmente a causa de la propagación masiva de Cryptolocker, en su variante CryptoDefense. Han sido muchos los que se han visto afectados por este método de extorsión, en que la única salida es eliminar la aplicación causante y recuperar las copias de seguridad fuera de línea (cinta, discos duros externos no conectados, etc…), de la información cifrada.

No es ninguna broma el dolor de cabeza que produce.

Puedo afirmar que en los 20 años de carrera profesional que llevo es lo peor que he visto, y he visto de muchos colores. Me queda una sensación total de impotencia ante la información cifrada, en que sabes que no se puede hacer nada para recuperarla. Personalmente, psicológicamente, hubiera preferido un incendio o robo físico, en que puedes aceptar mejor la pérdida al no verlo. Dejarlo delante de ti, pero sin poder llegar, es muy duro, para mi y, sobre todo, para quien lo padece.

No es nada agradable ver empresas paradas, con su información cifrada, sin saber que hacer, como actuar, con muchas preguntas en el aire: ¿que pedidos tengo que servir?, ¿que declaración de IVA tengo que hacer?, ¿quien me debe dinero? etc… Equivale a un Desastre Total del que tantas veces hablamos y que incluso podemos llegar a ignorar. A mi esto no me pasará nunca, pues pasa. Y pasa a todo el mundo: empresas grandes, empresas medianas, empresas pequeñas, autónomos, particulares.Y en el momento menos pensado.

El riesgo existe, está presente, y en el momento menos pensado, zas, aquí lo tienes. Es el momento de utilizar los métodos de recuperación de datos que «sólo» cubren un 6% de casos que hablaba en la entrada de alta disponibilidad. Estos son los únicos que te salvan de lo más grave y, mejor si no se tienen que utilizar nunca. Se ha perdido un correo electrónico, «no pasa nada». Se ha perdido un archivo de un proyecto, «no pasa nada»,… Se ha perdido toda la información de toda la vida de la empresa, eso si que es muy grave. Debemos estar preparados para poder reaccionar.

Después de la catástrofe viene la resiliencia. ¿Que puedo hacer ahora que me ha pasado? Recuperar la copia de seguridad buena y seguir. Si, pero no. De todo se aprende y este desastre no es una excepción. Si sólo recupero los datos y sigo haciendo lo mismo, me puede volver a pasar, ¿cómo evitar una nueva propagación?

 

Analicemos como ha podido entrar un cryptolocker

El principal problema de este método, bajo mi punto de vista, es que se ha atacado el punto más débil del sistema: el USUARIO. La mayoría de sistemas informáticos de hoy en día tienen un sistema de antivirus en los equipos (protección de un 30%), se realizan las actualizaciones de todos los sistemas operativos y softwares mensuales (protección de un 40%), disponen de cortafuegos avanzados (con protecciones de antivirus, malware, botnets, DDoS, perimetrales,etc… protección del 20% + el 30% de antivirus). Pero aún así, queda aproximadamente un 10% libre, con los 0-Days, ataques muy dirigidos y específicos, métodos para descubrir la protección, etc… y el USUARIO. Nos guste o no, cada uno es responsable de sus actos y conocimientos.

Pero el problema no reside solo en una persona, sino en todas las que tienen acceso al sistema informático (directivos, recepcionistas, administrativos, ingenieros, operarios, informáticos, etc..). Un correo electrónico «inocente» abierto por la persona menos pensada causa todo este estrago. Ya se puede repetir: no abráis correos electrónicos extraños, no ejecutéis aplicaciones que no sabéis que son, no naveguéis por sitios web de dudosa calidad y/o procedencia, etc…

Siempre hay alguien que cae a cuatro patas. Aquí no hay métodos de antivirus, cortafuegos inteligentes, permisos de bloqueo, etc… que valgan y lo puedan parar. Es el usuario quién lo activa, con los permisos para hacerlo y sobre toda la información a la que tiene acceso. Sobre todo en los entornos de pequeñas y medianas empresas, quiénes menos permisos deberían tener son los que más tienen. Ya sea por desconocimiento de como aplicarlos. Porque aquí todo el mundo debe tener acceso a todo (¿habéis pensado bien esta última frase?), o porque soy el «jefe» y debo acceder a todas partes. En definitiva, no se es consciente de los riesgos que conlleva hasta que, lastimosamente, no pasa algo.

 

Métodos para frenar la propagación

En ataques agresivos, medidas agresivas. Como no, la primera es la formación del usuario. En úlitima instancia él es el responsable de sus acciones. Como administradores del sistema la cosa se complica. Más medidas de seguridad agresivas también implican menos movimiento por parte del usuario y, en todo caso, siempre debe ser una balanza. Que sea seguro, pero que el usuario también pueda realizar su trabajo con libertad.

Para evitar una afectación total al sistema, pensar bien los permisos de acceso que debe tener cada usuario. ¿Seguro que todos deben tener acceso a todo? Limitar los accesos desde el exterior libremente. ¿Cuántos tenéis publicado el terminal server (Remote Desktop) directamente a Internet por el puerto TCP 3389, sabéis que existe la puerta de enlace web de remote desktop por el puerto TCP 443 (SSL seguro), verdad? ¿Y además, los usuarios que lo utilizan emplean contraseñas fuertes (1234, abcde, root…), verdad? Ala, ya tenéis trabajo.

Hasta aquí se puede controlar más o menos con la configuración del sistema, pero,

 

¿Que se puede hacer para evitar que el usuario, después de recibir el correo electrónico fatídico, lo ejecute?

Este ha sido mi principal dolor de cabeza después de los ataques producidos, como evitar un nuevo ataque. Hablando con mi compañero Julio Iglesias Pérez (MVP de Enterprise Security), hemos llegado a la conclusión que un método efectivo puede ser limitar la ejecución de aplicaciones fuera de las carpetas de aplicaciones y sistema operativo. Es una medida agresiva que puede comportar molestias a los usuarios en la ejecución de aplicaciones desde otras ubicaciones (directamente desde carpetas de la red, fuera del entorno de Archivos de Programa, en carpetas esparcidas por el disco duro, desde el perfil del usuario, etc…). O incluso limitar el uso de las aplicaciones mediante el hash de la misma (mucho trabajo para los administradores y también quiere decir un entorno muy controlado en la ejecución de las mismas, cosa que no se da en la mayoría de las instalaciones que conozco).

Mi recomendación, siguiendo la norma de la balanza (seguridad – usable), es empezar a limitar la ejecución de aplicaciones desde las carpetas de los perfiles de los usuarios.

Para sistemas operativos de Windows Vista para arriba:

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  • %LocalAppData%\Temp\rar*\*.exe
  • %LocalAppData%\Temp\7z*\*.exe
  • %LocalAppData%\Temp\wz*\*.exe
  • %LocalAppData%\Temp\*.zip\*.exe

Y con mucho cuidado porque pueden dejar de funcionar las actualizaciones e instalaciones de aplicaciones que si queremos:

  • %LocalAppData%\Temp\*.exe
  • %LocalAppData%\Temp\*\*.exe

 

Para el sistema operativo Windows XP, ¿cómo? ¿aún tenéis Windows XP? ¿A que esperáis para actualizarlo? La lista de bloqueo corresponde a la siguiente:

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  • %UserProfile%\Local Settings\Temp\rar*\*.exe
  • %UserProfile%\Local Settings\Temp\7z*\*.exe
  • %UserProfile%\Local Settings\Temp\wz*\*.exe
  • %UserProfile%\Local Settings\Temp\*.zip\*.exe
  • %UserProfile%\Local Settings\Temp\*.exe
  • %UserProfile%\Local Settings\Temp\*\*.exe

Actualización a 21 de abril de 2015, añadir las reglas para la extensión .scr (salva pantallas) para los nuevos métodos de ataque.

  • %AppData%\*.scr
  • %AppData%\*\*.scr
  • %UserProfile%\Local Settings\Temp\rar*\*.scr
  • %UserProfile%\Local Settings\Temp\7z*\*.scr
  • %UserProfile%\Local Settings\Temp\wz*\*.scr
  • %UserProfile%\Local Settings\Temp\*.zip\*.scr
  • %UserProfile%\Local Settings\Temp\*.cab\*.scr
  • %UserProfile%\Local Settings\Temp\*.scr
  • %UserProfile%\Local Settings\Temp\*\*.scr

 

Configurar la política de seguridad

¿Cómo aplicamos estas reglas? Pues modificando la política de seguridad de la máquina. Ya sea directamente o bien creando una Directiva de Grupo, en el caso de dominios Active Directory. Como esta entrada está orientada a todos, se expone la modificación del equipo personal. Para los Administradores de Sistemas se debe hacer el mismo proceso, creando una nueva GPO en Directivas de Grupo del Active Directory y asignarla a la unidad organizativa correspondiente.

Desde el escritorio, botón derecho sobre el botón Inicio, hacer clic en Ejecutar.

parar-cryptolocker-001

Escribir mmc.exe y hacer clic en el botón Aceptar.

parar-cryptolocker-002

Como que cargamos una consola de administración, nos pide para elevar privilegios, hacer clic en el botón Si.

parar-cryptolocker-003

Con la consola de administración, en el menú, hacer clic en Archivo > Agregar o quitar complemento.

parar-cryptolocker-004

De la lista del lado izquierdo, marcar Editor de objetos de directiva, hacer clic en el botón Agregar para seleccionarla.

parar-cryptolocker-005

Pregunta si cargamos el equipo local o otro, no hay que tocar nada, hacer clic en el botón Finalizar.

parar-cryptolocker-006

Hacer clic en el botón Aceptar para cargar la directiva.

parar-cryptolocker-007

Desplegar Directiva Equipo local > Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de restricción de software.

parar-cryptolocker-008

Lo primero que indica es que no se ha definido ninguna directiva de restricción de software. Botón derecho sobre la carpeta y hacer clic en la opción Nueva Directiva de restricción de software para crear la inicial por defecto.

parar-cryptolocker-009

 

Se añaden las reglas por defecto en el bloqueo. Como que sólo se quieren añadir carpetas adicionales, se deja todo por defecto y se selecciona la carpeta Reglas adicionales.

parar-cryptolocker-010

Botón derecho en el lado derecho, en el menú, hacer clic en Regla de nueva ruta de acceso.

parar-cryptolocker-011

Introducir la ruta que se quiere bloquear. A nivel de seguridad, indicar NO PERMITIDO. En descripción se puede indicar el comentario que creáis oportuno. Hacer clic en Aceptar para aplicar.

parar-cryptolocker-012

Repetir el proceso con todas las reglas que se consideren necesarias. Por ejemplo la lista mencionada anteriormente:

  • %AppData%\*.exe
  • %AppData%\*\*.exe
  • %LocalAppData%\Temp\rar*\*.exe
  • %LocalAppData%\Temp\7z*\*.exe
  • %LocalAppData%\Temp\wz*\*.exe
  • %LocalAppData%\Temp\*.zip\*.exe
  • %LocalAppData%\Temp\*.exe
  • %LocalAppData%\Temp\*\*.exe

Actualización a 21 de abril de 2015, añadir las reglas para la extensión .scr (salva pantallas) para los nuevos métodos de ataque.

  • %AppData%\*.scr
  • %AppData%\*\*.scr
  • %UserProfile%\Local Settings\Temp\rar*\*.scr
  • %UserProfile%\Local Settings\Temp\7z*\*.scr
  • %UserProfile%\Local Settings\Temp\wz*\*.scr
  • %UserProfile%\Local Settings\Temp\*.zip\*.scr
  • %UserProfile%\Local Settings\Temp\*.cab\*.scr
  • %UserProfile%\Local Settings\Temp\*.scr
  • %UserProfile%\Local Settings\Temp\*\*.scr

Cerrar la consola de administración. Si es la primera vez que se define una directiva de restricción de software, hay que reiniciar el equipo para que ésta se aplique.

Una vez aplicada la nueva directiva, en este caso reiniciando el equipo. Si hacemos la prueba de ejecutar una aplicación desde la carpeta AppData\Roaming, por ejemplo, el putty:

parar-cryptolocker-014

Aparece una ventanilla muy chula indicando que se ha bloqueado la ejecución de esta aplicación.

parar-cryptolocker-015

Si se comprime el archivo EXE en un ZIP y se intenta ejecutar desde el ZIP, obtenemos el mismo resultado.

parar-cryptolocker-016

Es un primer bloqueo a este tipo de ataque, recuerdo que no hay nada como la formación y consciencia de cada usuario en sus acciones. El Cryptolocker y sus variantes se ejecutan porque el usuario lo ejecuta, no por si solo.

A nivel de Administradores de Sistemas, tampoco está de más hacer un bloqueo a nivel de servidor de correo electrónico de los archivos adjuntos que se reciben por el correo electrónico y susceptibles de poder ejecutar código, para evitar que lleguen al usuario:

*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c

 

¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!

Similar Posts by The Author:

 

3 comentaris per a
“Parar Cryptolocker”

  1. Excelente artículo.

    Resulta tan difícil concienciar a los implicados….

     
  2. Muchisimas Gracias. por el articulo me ha servido de mucho para ver que reglas meter.

    Un Saludo

     
Els comentaris estan tancats.