Virus de ransomware

¿Qué es el ransomware?

Los virus de ransomware son una categoría de software malicioso que sabotea los documentos y los inutiliza, aunque el usuario siga teniendo acceso a su equipo. Los atacantes que usan ransomware obligan a las víctimas a pagar un rescate con determinados métodos. Una vez efectuado el pago, pueden permitir que las víctimas recuperen el acceso a los datos. Lamentablemente, el ransomware no puede descifrarse con herramientas de eliminación.

El ransomlocker es un tipo de software malicioso relacionado que bloquea equipos para impedir el acceso de los usuarios a sus dispositivos o datos. La víctima recibe un mensaje, supuestamente de las autoridades locales, en el que se exige el pago de una multa para evitar la inmovilización y desbloquear su equipo.

Tipos de ransomware

Si bien no es una lista exhaustiva de todos los virus de ransomware, contiene algunos de los ejemplos más destacables.

Petya

Petya es un ransomware troyano que cifra archivos en el equipo afectado. De modo similar a WannaCry, Petya usa el punto vulnerable EternalBlue como uno de sus medios de propagación. Sin embargo, también utiliza técnicas clásicas de difusión en redes de pymes, por lo que puede propagarse dentro de una organización aunque esta tenga parches contra EternalBlue.

Más información

WannaCry

WannaCry es mucho más peligroso que otros tipos de ransomware comunes. Esto se debe a su capacidad para propagarse a través de la red de una organización aprovechando una vulnerabilidad crítica en equipos con Windows para la cual Microsoft proporcionó un parche en marzo de 2017 (MS17-010). El punto vulnerable conocido como «Eternal Blue» hizo su aparición online en abril, en la más reciente de  una serie de acciones cuyo responsable es un grupo denominado Shadow Brokers, el cual se atribuye el robo de los datos del grupo de espionaje informático Equation.

WannaCry busca y cifra 176 tipos de archivos y agrega .WCRY al final del nombre. Luego exige a los usuarios un rescate de 300 dólares en bitcoins. Por si fuera poco, la nota que se añade en el rescate indica que dicha cantidad se duplicará pasados tres días. Además, advierte que si no se realiza el pago en un plazo máximo de 7 días, se eliminarán los archivos cifrados. Sin embargo, Symantec no ha encontrado ningún código dentro del ransomware capaz de provocar la eliminación de archivos.

Más información

La protección de los productos de Symantec contra el ransomware

Para detener el ransomware se requiere una defensa exhaustiva en todos los puntos de control

Correo electrónico

Symantec Email Security.cloud, Symantec Messaging Gateway

  • Análisis estáticos de indicadores maliciosos dentro de archivos o documentos
  • Ejecución de scripts potencialmente maliciosos en espacios aislados antes de la entrega de correo electrónico y bloqueo
    si hay signos evidentes de comportamiento malicioso
  • Bloqueo de vínculos maliciosos con seguimiento de vínculos en tiempo real antes de la entrega de correo electrónico y análisis de vínculos al hacer clic tras la entrega

Web

Soluciones de Symantec Secure Web Gateway1

  • Bloqueo de sitios maliciosos, incluidos Command & Control y Encryption Server
  • Análisis de archivos para detectar comportamiento sospechoso de URL desconocidas relacionado con actividades de ransomware mediante fuentes de amenazas de varias capas y en directo
  • El análisis de software malicioso busca comportamientos específicos de ransomware y ejecuta archivos desconocidos en un espacio aislado antes de realizarse la entrega

Punto final

Symantec Endpoint Protection 142, ATP: Endpoint (EDR)

  • El aprendizaje automático avanzado detecta software malicioso polimórfico
  • El emulador desempaqueta software malicioso evasivo mientras el análisis de comportamiento descubre acciones de ransomware
  • IPS bloquea intentos de ransomware para descargar claves de cifrado
  • Aislamiento de puntos finales cuando se detecta ransomware para impedir el movimiento lateral
  • Búsqueda de indicadores de riesgo de ransomware en todos los puntos finales

Carga de trabajo

Symantec Data Center Security: Server Advanced

  • Las reglas de IPS listas para aplicarse pueden evitar la colocación o la ejecución de archivos de ransomware en el sistema
  • Los clientes que no usen protección IPS completa pueden implementar políticas de bloqueo de determinados ejecutables de malware
  • Se pueden aplicar reglas adicionales para bloquear todo el tráfico entrante/saliente de pymes
  • También es posible bloquear el ransomware agregando hashes ejecutables a listas globales de prohibición de ejecución

Obtener más información

Informe sobre las amenazas para la seguridad en Internet de Symantec 2018

El ransomware pasa de los grandes objetivos a los productos, con reducción de precios y aumento de variantes.

Leer el informe

Blogs

WannaCry: los ataques de ransomware revelan estrechas relaciones con el grupo Lazarus

Las similitudes de código e infraestructura denotan una clara conexión con el grupo asociado a los ataques sufridos por Sony Pictures y Bangladesh Bank.

Una estrategia de defensa integrada para combatir el ransomware en cada punto de ataque

Las soluciones avanzadas de Symantec para protección contra ransomware ofrecen defensa integrada en TODOS los puntos de control.

Data Center Security Server Advanced cierra el paso a WannaCry

Obtenga más información sobre la protección que ofrece Symantec contra el ransomware WannaCry.

Ransomware WannaCry: las 10 mejores formas de defenderse con Symantec Incident Response

Descubra qué hace Incident Response para detectar, reparar y proteger contra futuros ataques de ransomware.

Ransomware WannaCry: seis repercusiones en 6el sector de las aseguradoras

Este artículo trata sobre los riesgos emergentes de ataques informáticos que afrontan las compañías de seguros.

¿Es posible descifrar archivos bloqueados por WannaCry? Análisis técnico

Desde que empezó a propagarse, el gusano de ransomware WannaCry ha copado titulares de noticias en todo el mundo.

Lo que se debe saber sobre el ransomware WannaCry

Descubra cómo se propaga este ataque de ransomware y cómo proteger su red contra ataques similares.

Symantec defiende a los clientes contra el ransomware mediante capas de defensas en diferentes líneas de productos. Protege diversos vectores y objetivos de ataque, por ejemplo el correo electrónico, la Web, los puntos finales y los servidores del centro de datos. La tecnología de detección de comportamiento SONAR también protege de forma proactiva contra infecciones.

Endpoint: Symantec Endpoint Protection y Norton
Symantec Endpoint Protection (SEP) y  Norton han bloqueado, mediante una combinación de tecnologías, todos los intentos de explotar la vulnerabilidad objetivo de WannaCry desde el 24 de abril, antes de la aparición de WannaCry. De hecho, la función de aprendizaje automático avanzado en SEP bloqueó por propia iniciativa todas las infecciones de WannaCry el día cero, sin ninguna actualización. Todas las versiones de SEP (incluidas SEP 14, SEP Cloud y SEP Small Business Edition) disponen de estas protecciones automáticas contra WannaCry. Consulte la sección siguiente sobre detalles y recomendaciones para obtener más información.

Correo electrónico: Symantec Email Security.cloud y Symantec Messaging Gateway
Symantec Email Security.cloud y Symantec Messaging Gateway proporcionan protección automática contra WannaCry para ataques por correo electrónico.

Web: Symantec Secure Web Gateway
Symantec Secure Web Gateway (SWG) bloquea el acceso a sitios web maliciosos y descargas que podrían contener ransomware. Las soluciones SWG incluyen ProxySG, WSS, GIN, Content and Malware Analysis, Security Analytics y SSLV.

Carga de trabajo: Symantec Data Center Security: Server Advanced
Las políticas de prevención de intrusiones de Symantec Data Center Security: Server Advanced (DCS:SA) bloquean WannaCry de inmediato. Las políticas de Symantec DCS: SA tienen tres niveles, básico, de refuerzo y de lista blanca, para Windows 6.0 y versiones posteriores que bloquean el ataque del ransomware WannaCry para impedir la entrada de ejecutables maliciosos en los sistemas. Los clientes que no implementen funciones completas de prevención de intrusiones pueden aplicar políticas de prevención de intrusiones destinadas a bloquear la ejecución de ransomware.

Nota: En el artículo del blog sobre ransomware y  Data Center Security Server encontrará más detalles e instrucciones.

Endpoint Management: Symantec IT Management Suite
Symantec IT Management Suite (ITMS) proporciona parches de vulnerabilidades y actualizaciones para puntos finales y servidores de centros de datos. En marzo, Microsoft proporcionó el parche de actualización de seguridad para Microsoft Windows SMB Server (4013389), que protege contra WannaCry. ITMS es compatible con el parche desde su lanzamiento.

Nota: ITMS 7.5 aplicará parches a sistemas Windows 7/8.1. Ahora bien, para los parches en sistemas Windows 10 se requiere ITMS 7.6 o posterior.

Servicios de seguridad informática: los clientes pueden beneficiarse de Managed Security Services de Symantec para supervisar alertas de WannaCry y detectar la propagación de ransomware dentro de su organización. Symantec también proporciona servicios de respuesta ante incidentes, por ejemplo servicios de disponibilidad, persecución y respuesta para víctimas de WannaCry.

Lea la  información detallada sobre la protección que los productos de Symantec le ofrecen contra Wannacry y otros tipos de ransomware.

Detalles y recomendaciones para usuarios de Symantec Endpoint Protection y Norton

Symantec recomienda a los clientes que adopten las tecnologías siguientes para disponer de una protección completa que se anticipe a las amenazas y los ataques:

  • Prevención de intrusiones
  • Tecnología SONAR para detección de comportamiento
  • Aprendizaje automático avanzado

Nota: Se aconseja a los usuarios de Symantec Endpoint Protection que migren a SEP 14 para aprovechar la protección proactiva del aprendizaje automático avanzado.