Antivirus Nod32 – Entender lo que sucedió con la infección de FileCoder.

Antivirus Nod32 – Entender lo que sucedió con la infección de FileCoder.

Estimados Partners

Les comparto a ustedes la ultima informacion que es de gran ayuda para entender lo sucedió el pasado lunes 19 con la infección de FileCoder. Estaremos atentos a sus comentarios al respecto.

1) ¿Por qué me infecté?

La infección comenzó a través de una campaña de spam que llegó a la bandeja de entrada de algún usuario de la compañía. Para una infección exitosa, es necesario que un usuario abra un archivo adjunto, en este caso con extensión .scr.

Si el equipo infectado estaba protegido por un antivirus, la infección solo puede realizarse si la base instalada del producto no detectaba las variantes involucradas en este ataque, ya sea por falta de actualización del equipo o por tratarse de una nueva variante.

En esta campaña en particular, ESET detecta la amenaza Win32/FileCoder.DA (CTB-Locker, amenaza que cifra los archivos) desde el día 19 de enero por la mañana con su base de firmas 11037 y el troyano Win32/TrojanDownloader.Elenoocka.A (el que descarga la amenaza primaria) desde el mismo día en la base de firmas posterior, la 11039.

2) ¿Otros productos me hubiesen protegido mejor?

ESET fue una de las primeras casas antivirus en detectar esta oleadas de ataques, crear las firmas para su producto y notificar a la comunidad a través de su plataforma de noticias We Live Security (http://www.welivesecurity.com/la-es/2015/01/20/ctb-locker-ransomware-ataca-nuevo/).

3) ¿Por qué no puedo recuperar mis archivos?

La amenaza cifra los archivos con un algoritmo público protegido por una contraseña fuerte, por lo que no es posible descifrar los archivos perdidos sin conocer dicha clave. El algoritmo de cifrado es lo suficientemente fuerte para propiciar el modelo de negocio del cibercriminal. En estos casos, se recomienda restaurar el último backup disponible para recuperar la información.

4) ¿Qué está haciendo ESET con respecto a esta situación?

Nuestro Laboratorio de Investigación único en la región opera diariamente para identificar y detectar rápidamente las nuevas variantes de malware. Como en otras oportunidades, el mismo día lunes el equipo identificó la campaña de propagación, se generaron las detecciones para las mismas para el producto y, posteriormente, se trabajó en la generación de materiales públicos y para nuestros equipos de soporte y clientes con el ánimo de mantener informada a la comunidad sobre los ataques.

5) ¿Qué recomendaciones y/o acciones se proponen para evitar que la situación se repita?

En términos de producto, esta son las recomendaciones de seguridad para evitar estos incidentes:

- Asegurarse que todos los usuarios en la red cuenten con la versión más reciente y actualizada del antivirus.
- Asegurarse que el Live Grid está activado (Se puede utilizar CloudCar para probar que esta protección esté activa: http://www.amtso.org/feature-settings-check-cloud-lookup.html).
- Con Live Grid activo, debe activarse también la heurística avanzada para los archivos ejecutados (Antivirus y antispyware -> Protección del sistema de archivos en tiempo real -> Configuración Avanzada)
- Revisar que no haya configuraciones inadecuadas (exclusiones, protección en tiempo real, protección web, etc.).
- En caso de contar con un servidor de correos propio, se puede aplicar una capa de protección adicional al habilitar la detección de adjuntos potencialmente peligrosos dentro de nuestro producto ESET Mail Security para Exchange que debería detener la mayoría de los correos de spam que contienen amenazas.

Por otro lado, hay dos medidas adicionales que las empresas debe trabajar para minimizar el riesgo ante estos ataques. Como medida preventiva, es importante remarcar la importancia de la concientización de los usuarios (Jornadas de Awareness), estos ataques poseen componentes de Ingeniería Social y siempre hay intervención involuntaria del usuario que colabora con la infección. Por otro lado, en términos de remediación, es fundamental contar con backup de los activos de información de la compañía para poder restaurar rápidamente ante situaciones de este tipo.

Cordial Saludo,

--
Diana Carolina Marín
Director de Ingeniería y Educación.
Especialista en Seguridad Informática y Computación Forense
Frontech Ltda

Los comentarios están cerrados.