Introducción
Los ataques de Ransomware por email son cada dia mas comunes. Si bien la proteccion AvasCloud ayuda a prevenir estos ataques bloqueando la entrada de emails maliciosos, en el siguiente articulo veremos un poco mas de cerca de qué se tratan estos ataques y cuáles son las herramientas con las que contamos para defender nuestra información.
¿Qué es Ransomware?
El Ransomware es un tipo de software malicioso malintencionado que restringe el acceso a partes o archivos del equipo infectado, y requiere un pago o “rescate” a cambio de levantar esa restricción.
¿Cómo se puede infectar mi equipo?
La forma mas común de propagación de Ransomware es a través de archivos adjuntos en emails aparentemente inofensivos, que al ser descargados se ejecutan y cifran los archivos del usuario con una clave que solo posee la persona que creó el archivo malicioso.
¿Cómo funciona el Ransomware?
Los Ransomware y Malware en general se basan en poder comunicarse con un C&C (command and control system) que es accesible a través de un fqdn, y con el cual comparten una encryption key
Esos fqdn se producen y registran de a cientos por día por medio de DGA (Domain Generation Algorithms).
En general, el usuario debe tener cuidado al abrir documentos adjuntos que pidan habilitar macros para poder editar el archivo, porque esas macros pueden ser maliciosas y encriptar todos los archivos de su computadora (Windows o Mac), mostrando un mensaje que pide un rescate a cambio de instrucciones para desencriptarlos.
¿AvasCloud protege mi equipo?
En el caso de protección para correo Inbound (entrante), Avascloud no sólo previene de la entrada de malwares, virus, backscattering, phishing, ataques de diccionario y ataques DdoS en general, si no que también provee protección contra Ransomware, ya que los feeds de AvasCloud contienen mas de 35.000 mil dominios DGA con actualizaciones diarias (e.g. CryptoWall, CryptoLocker, etc), que utiliza para analizar los encabezados de correos entrantes para poder filtrar y detener estos ataques.
¿Es esto suficiente?
Si bien AvasCloud frena estos correos, se requiere extrema prudencia al usuario final, así como campañas de información y concientización respecto de los peligros de abrir o hacer click en links adjuntos de e-mails de remitentes desconocidos o con los cuales no se está manteniendo ningún intercambio. Los departamentos internos de IT deben estar preparados para utilizar decryptores y tener un Manual de Procedimientos para poder reaccionar si se presentara un caso de Ransomware.
Se sugieren políticas de backup, de mail archiving, backups en medios físicos no conectados y nubes alternativas, como medidas preventivas ante un posible ataque cibercriminal de estas características.
Por otro lado, dado que los Ransomware pueden proveer de sitios web que aparecen de manera indirecta durante la navegación, es indispensable contar con licencias de Antivirus en la estación de trabajo del usuario final, tal como describe este artículo de Microsoft
¿Qué puedo hacer si fui victima de un ataque?
Si a pesar de todas las precauciones usted fue victima de un ataque de Ransomware, el equipo del departamento de IT de su empresa puede utilizar decryptores para recuperar su información.
Debajo van a encontrar una lista de decryptores gratuitos que pueden utilizarse para esta tarea:
Avast Free Ransomware Decryption Tools:
Trend Micro Ransomware File Decryptor Tool
Trend Micro Ransomware Screen Unlocker Tools
Kaspersky Anti-Ransomware Tool for Business
Mas Información
Ransomware: An executive guide to one of the biggest menaces on the web
