¿Qué es el ciberataque de rescate?

Ahora, el tema de tendencia de un día es #ransomware porque Wannacry es famoso por bloquear nuestro sistema operativo y cifrar todos los archivos. Salude al equipo de Wannacry, chicos, su algoritmo es increíble y ustedes son realmente buenos en este campo.

Ahora ven a la pregunta ¿Qué es el ciberataque? Hay dos tipos de rescate donde:

• Encriptadores: este tipo de ransomeware funciona totalmente en el algoritmo de encriptación y encripta todos los archivos que se encuentran en su sistema. Cuando un usuario quiere descifrar los archivos en ese momento, el equipo que hace este algoritmo exige dinero, entonces proporcionará una clave que puede descifrar todos los archivos en una forma normal donde un usuario puede leer y acceder. Este es el tipo normal donde un usuario puede acceder a nuestra computadora portátil y usarla.
• Casilleros: este tipo de ransomeware funciona totalmente en el algoritmo de bloqueo, que bloquea a la víctima fuera del sistema operativo. Winlocker es el ejemplo de ransomeware locker. Los casilleros bloquean nuestro sistema operativo y nunca dan acceso. así que si desea acceder a su escritorio, debe pagar una cantidad de muchos y comprar la clave (contraseña). entonces puede acceder a su escritorio. Lo mismo sucede con wannacry.
• Cuenta con un cifrado irrompible , lo que significa que no puede descifrar los archivos por su cuenta (hay varias herramientas de descifrado lanzadas por investigadores de ciberseguridad, más sobre eso más adelante);
• Tiene la capacidad de encriptar todo tipo de archivos , desde documentos hasta imágenes, videos, archivos de audio y otras cosas que pueda tener en su PC;
• Puede codificar los nombres de sus archivos , por lo que no puede saber qué datos se vieron afectados. Este es uno de los trucos de ingeniería social utilizados para confundir y obligar a las víctimas a pagar el rescate;
• Agregará una extensión diferente a sus archivos , a veces para señalar un tipo específico de cepa de ransomware;
• Mostrará una imagen o un mensaje que le permite saber que sus datos han sido encriptados y que tiene que pagar una suma específica de dinero para recuperarlos;
• Solicita el pago en Bitcoins porque esta criptomoneda no puede ser rastreada por investigadores de seguridad cibernética o agencias policiales;
• Por lo general, los pagos de rescate tienen un límite de tiempo , para agregar otro nivel de restricción psicológica a este esquema de extorsión. Repasar la fecha límite generalmente significa que el rescate aumentará, pero también puede significar que los datos se destruirán y se perderán para siempre.
• Utiliza un conjunto complejo de técnicas de evasión para no ser detectado por el antivirus tradicional (más sobre esto en la sección “Por qué el ransomware a menudo no es detectado por el antivirus”);
• A menudo recluta las PC infectadas en las botnets , por lo que los ciberdelincuentes pueden expandir su infraestructura y alimentar futuros ataques;
• Se puede propagar a otras PC conectadas a una red local , creando más daños;
• Con frecuencia presenta capacidades de extracción de datos, lo que significa que también puede extraer datos de la computadora afectada (nombres de usuario, contraseñas, direcciones de correo electrónico, etc.) y enviarlos a un servidor controlado por ciberdelincuentes; cifrar archivos no siempre es el final del juego.
• A veces incluye objetivos geográficos , lo que significa que la nota de rescate se traduce al idioma de la víctima, para aumentar las posibilidades de que se pague el rescate.

¿Qué es el ransomware ?

Es un código / software que infecta cualquier computadora con intervención del usuario y encripta toda la información del sistema. Para descifrar los archivos infectados, la víctima tiene que ingresar una clave que solo está disponible con el atacante. El atacante exige un rescate en Bitcoin, luego de lo cual, la víctima tiene que seguir un proceso especificado por el atacante para obtener la clave de descifrado.

¿Qué es Petya Ransomware ?

Los nombres de Petya se originan en la película de James Bond de 1995 GoldenEye . En la película, Petya y Mischa son los satélites desechables utilizados para llevar a cabo Goldeneye, un arma electromagnética basada en pulsos. Inicialmente, la seguridad espera pensar que el ransomware se está comunicando / compartiendo su código con una pieza más antigua de ransomware. Más tarde, identificaron que el intercambio no dura mucho tiempo y, mientras tanto, las investigaciones independientes que detectaron este malware le dieron otros nombres como GoldenEye, Petna y Pneytna.

Petya Ransomware se está aprovechando de la vulnerabilidad EternalBlue en Microsoft Windows y exige un rescate de $ 300 en Bitcoin a sus víctimas. EternalBlue es un exploit, y se utiliza para identificar la vulnerabilidad en el protocolo del Bloque de mensajes del servidor [SMB] implementado por Microsoft.

¿Cuándo se identificó esto?

Petya se encontró por primera vez en marzo de 2016, mientras se propagaba a través de correos electrónicos. El 27 de junio de 2017, una nueva versión de Petya comenzó a afectar a Alemania, Polonia, Francia y el Reino Unido con la mayoría de las infecciones en Rusia y Ucrania. Petya se extendió rápidamente aprovechando el exploit EternalBlue desarrollado por la NSA.

¿A qué familia de virus pertenece?

Hay 3 tipos de ransomware:

1. Cifrado Ransomware (CryptoLocker – Jigsaw).
2. Bloqueo de pantalla Ransomware.
3. Master Boot Record (MBR) Ransomware [Satana].

Petya pertenece a la familia de MBR Ransomware que infecta el registro maestro de arranque para ejecutar sus cargas útiles que encripta el sistema de archivos NTFS.

¿Qué tipo de daño puede hacer?

Petya realiza 2 capas de encriptación:

1. Cifra tanto los archivos del sistema como el disco duro.
2. El troyano oculto de Petya roba los nombres de usuario y las contraseñas de las víctimas.
3. Si un malware de Petya inyecta un sistema en una red de la organización, Petya eliminará todos los nombres de usuario y contraseñas de los demás sistemas dentro de la red.

¿Cómo se infectan los sistemas con esto? (Ej: Ingeniería social)

• Al navegar por sitios web no confiables.
• Ataques de phishing. No descargue ejecutables en estos formatos: .ade, .adp, .ani, .bas, .bat, .com, .cmd, .com, .cpl, .crt, .hlp, .ht, .hta, .inf , .ins, .isp, .job, .js, .jse, .lnk, .mda, .mdb, .mde, .mdz, .msc, .msi, .msp, .mst, .pcd, .reg,. scr, .sct, .shs, .url, .vb, .vbe, .vbs, .wsc, .wsf, .wsh, .exe, .pif, etc.
• Instalación de software pirateado, programas de software obsoletos o sistemas operativos.

¿Cómo puedes evitar infectarte?

Mantenga actualizado el sistema operativo Windows y los antivirus / antimalware.

Copia de seguridad periódica de archivos en un disco duro externo.

Tenga cuidado con los correos electrónicos de phishing, spam y no haga clic en archivos adjuntos maliciosos.

Si se ve afectado por el ransomware …

Kill-switch : la capacidad de deshabilitar localmente el ransomware: el ransomware comprueba si el archivo perfc está presente (u otro archivo vacío con un nombre diferente) sin una extensión en la carpeta C: \ Windows \. La presencia de dicho archivo en la carpeta especificada puede ser uno de los indicadores de compromiso. Si el archivo está presente en esta carpeta, se detiene la ejecución de malware, por lo que crear un archivo con el nombre correcto puede evitar la sustitución de MBR y el cifrado adicional.

Para prevención, cree un archivo con el nombre perfc en la siguiente ubicación C: \ Windows \ perfc.dat.

1.Petya “busca un archivo de solo lectura, C: \ Windows \ perfc.dat, y si lo encuentra, no ejecutará el lado de cifrado del software.

2. Desconecte la PC de Internet, vuelva a formatear el disco duro y reinstale los archivos desde una copia de seguridad.

3. Si la máquina se reinicia y ve un mensaje como “CHKDSK está reparando los sectores”, apague la alimentación inmediatamente, ese es el proceso de cifrado. Si no se enciende durante 1 día, los archivos están seguros.

Para más detalles: Entersoft – Empresa galardonada de seguridad de aplicaciones

¿QUE ES EL RANSOMWARE? SU EFECTO Y CÓMO PREVENIR SUS DATOS DE ESTE VIRUS

RANSOMWARE

Ranaswamkar, que pidió rescate mediante el bloqueo de la computadora, llegó a ‘Vanacrai’ en más de 150 países del mundo. Mientras tanto, el Banco de la Reserva de la India emitió el lunes una alerta a los bancos pidiéndoles que mantengan la actualización del software de los cajeros automáticos, ya que RanSaware ha atacado el sistema de pago en todo el mundo. Según los informes, la mayoría de los cajeros automáticos en la India se ejecutan en las versiones anteriores del sistema operativo Windows de Microsoft y son extremadamente inseguros para tales ataques cibernéticos. Hay 2,2 millones de cajeros automáticos en el país y se está utilizando la mayor parte de la versión anterior de Windows XP.

RBI ha pedido a los bancos que sigan las instrucciones de la organización gubernamental CERT-In (Equipo Indio de Respuesta a Emergencias Informáticas). Según los informes, alrededor del 70% de los cajeros automáticos en la India están utilizando software obsoleto. Por lo tanto, es más fácil apuntarles. Windows XP es el más afectado por RanSamware. Este es el 70% de cajeros automáticos en la India. Sin embargo, después del ataque, Microsoft ha emitido parches de seguridad de XP.

Ransomware

El virus RanSware toma el cajero automático en modo de mantenimiento y obliga a agotar las notas. El mayor fabricante de cajeros automáticos del mundo, NCR Corp, había advertido a los bancos indios sobre este peligroso virus hace un mes.

Hay información sobre el ataque RanSware en algunas computadoras de los otros institutos junto con el departamento de policía en Maharashtra. Cuatro computadoras de la oficina de Panchayat en Wayanad, Kerala y West Midnapore en Bengala Occidental también tienen informes de este ataque de virus en 4 lugares de las computadoras de la compañía estatal de distribución de electricidad.

La primera versión no estaba rota, ahora la amenaza de otro ataque

Según la Policía Europea de la Unión Europea, más de 2.27 millones de computadoras han sido bloqueadas. Los expertos no han podido romper la primera versión hasta ahora y ahora también se espera otro ataque. El investigador de seguridad del Reino Unido ‘Malware Tech’ dijo: “El segundo ataque puede suceder. Puede venir cualquier otra versión, que no podremos detener ”. Malware Tech había ayudado previamente a reducir la velocidad del ataque. Según Europolli, a pesar de que 2 computadoras lakh en todo el mundo están bloqueadas, el número de personas que tienen rescate es muy pequeño.

Alertas RBI y NPCI

El gobierno indio ha alertado al RBI, al mercado de valores y al NPCI. En este sentido, el brazo de seguridad cibernética del gobierno ha emitido ‘Doz and Doots’ a estas agencias y ha dado instrucciones para tomar medidas completas para detener cualquier incidente como fugas de datos.

CERT-In ha emitido la alerta roja más reciente. Existe el peligro de ataques a institutos relacionados con la infraestructura, incluyendo defensa, energía, telecomunicaciones, aeropuerto, banca, bolsa de valores, escuela. Una vez que un virus es atacado en una computadora, toda la red de área local estará en su poder.

LEA TAMBIÉN: USO DE ARMAS QUÍMICAS PARA PAGAR UN PRECIO PESADO A SIRIA: EE. UU.

Según fuentes oficiales, “el gobierno ha arreglado para hacer frente a la situación, CERT-In ha pedido a las personas que no rescaten, a pesar de que hasta el momento no se ha producido ningún caso importante de ataque cibernético”.

Haz lo primero llegando a la oficina

Compruebe que el parche de antivirus y actualizaciones de Windows en la computadora. Si los enlaces sospechosos aparecen en el correo electrónico, no haga clic. No abra ni descargue dichos archivos adjuntos. Úselo solo escaneando la unidad de panorámica.

Si el virus ha sido atacado, entonces hazlo

Si el virus comienza a ejecutarse, primero quite el cable de red para que la segunda computadora de la oficina no esté infectada. Apague la computadora de inmediato.

Solución de ransomware

QUÉDATE ALERTA …

No abra correos electrónicos sospechosos o de phishing

No abra correos electrónicos de extraños. Elimine el correo no deseado sin abrirlo. Abra el archivo Compass o MS Word con precaución. No abra archivos sospechosos. Evite tales sitios web también.

Sigue retrocediendo

Si se realiza una copia de seguridad de los datos normales, el ransomware también puede recuperar los archivos afectados.

No pague rescate incluso cuando está bloqueado

No saquees el hacker incluso si la computadora está bloqueada. No hay garantía de que el remitente del ransomware lo envíe para finalizar el cifrado. Sí, los delincuentes definitivamente entenderán que eres una presa fácil. También pueden intentar recuperarse de usted en el futuro.

No ocultar extensiones de nombre de archivo

Los virus ransomware a menudo cambian la extensión del archivo. No vemos esto en nuestro sistema. Mantenga visibles las opciones de extensión de nombre de archivo y pueda identificar fácilmente archivos sospechosos.

El efecto del ciberataque

En el ataque del 12 de abril, las computadoras de cientos de países dejaron de funcionar. Este es un tipo especial de ataque cibernético de ransomware, que ha exigido rescate en bittoine. Los servicios de salud de muchos países, incluido el Reino Unido, se vieron gravemente abrumados debido a esto. Según el informe de la BBC, este ataque se llevó a cabo en importantes organizaciones de todo el mundo.

Según el informe de Europol, el impacto del ciberataque ha llegado a más de 150 países y ha afectado a más de 2 millones de computadoras.

Estos países también se ven afectados por el ataque, Rusia más afectada

Según el informe, los otros ataques cibernéticos en otros países incluyen Gran Bretaña, Estados Unidos, China, Rusia, España, Italia, Vietnam y muchos otros países. En todos estos países, el ransomware atacó juntos. Según las agencias de noticias, la mayoría de las computadoras de Rusia han sido víctimas de este ataque.

El Ministerio del Interior de Rusia también confirmó este ataque. Además del Reino Unido, este ataque cibernético ha afectado a empresas especiales que trabajan en España.

Fuente: ¿Qué es el ransomware? Su efecto y cómo prevenir sus datos de ese virus

El ransomware obtiene acceso a una computadora de la misma manera que cualquier tipo de virus o gusano informático, ya sea haciendo que el usuario abra un correo electrónico infectado, navegue a un sitio web comprometido o instale un programa infectado.

Una vez dentro de una computadora, puede funcionar de diferentes maneras. Una de ellas es bombardear a los usuarios con anuncios, imágenes indecentes o advertencias falsas hasta que paguen para que se eliminen.

Alternativamente, puede bloquear a los usuarios de una o más partes de su PC hasta que paguen para restaurar el acceso. A veces lo hace imitando una advertencia oficial de una agencia gubernamental o fuerza policial.

Finalmente, los archivos personales o importantes se eliminan de la PC host, se cifran y se amenaza con eliminarlos.

Para obtener más información sobre Wanna Cry, Ransomware, Ransomware Evolution, etc. Archivos de infografías | Opsfolio es una referencia perfecta, que me gustaría sugerirle.

El ransomware es un ataque de malware que pide rescate a cambio. Por lo general, mantendrán su información como rehén hasta que se pague el rescate solicitado. Tenemos una publicación de blog al respecto que debe leer si desea obtener más información.