Una breve introducción a este nuevo tipo de Virus Informático. Un poco de Historia del Virus, descripción de alguno de sus tipos y conocer algunas medidas de mitigación.

1. ¿ Que es el Ransonware ?
Por Juan Astudillo

2. Motivación General para escribir este
Artículo.
• Muchos Amigos Ingenieros y Profesionales TI han tenido esta
amenaza en su Empresa o en alguna parte.
• Dar a conocer la poca información que existe de este problema.
2

3. Motivación Técnica para escribir este
Artículo.
• Se imaginan no poder abrir sus Archivos Financieros Personales,
porque están ahí y ahora se llaman con nombres raros con extensiones
desconocidas.
• Abrir un archivo que tiene un nombre Extraño con una extensión
conocida, que me resulta familiar por su ubicación en su carpeta, pero
al abrirse en el Software, ¿Me muestra contenido encriptado?
• ¿ Que pasaría si una infección de este tipo afectara a nuestros
computadores del Hogar o La Empresa? O a los ¿ Servidores
Corporativos? o nuestros ¿ Datafiles Corporativos?.
• Los invito a conocer un poco mas de este nuevo Virus informático que
desde hace un tiempo está dando dolores de cabeza a los
profesionales TI.
3

4. ¿ Ransomware ?
• Ransomware: Es un peligroso tipo de Virus Informático que restringe el
acceso a determinados archivos, carpetas o otras ubicaciones del sistema
operativo, y solicita un rescate (por dinero) a cambio de quitar esta
restricción. Sobrepasa Antivirus y Sistema Bitlocker de Windows.
• Variante Agresiva del Virus: Encripta Archivos que ocupa el sistema
operativo inutilizando el dispositivo.
• Variante débil del Virus: Encripta archivos de trabajo que ocupan los
usuarios, por ejemplo .txt, .docx, .xlsx, .pptx, etc., incluso Archivos de
Scripting (.bat, .py, etc.).
• Ambas Variantes se pueden mezclar produciendo la perdida total, tanto de
la Data del Dispositivo (Archivos de trabajo) como del Sistema Operativo.
Ransom = Rescate
Ware = Software
4

5. Tipos de Ransonware.
• Reveton
Fecha de Infección: Desconocido
Funcionamiento: Basado en el troyano Citadel el cual estaba a su vez basado en el troyano Zeus, conocido
como “trojan cop” o “troyano de la policía”.
Reporte Año 2012: Trend Micro descubrió variaciones de este malware para los Estados Unidos y Canadá.
Reporte Agosto de 2014: Avast reporto nuevas variantes de Reventon, donde se distribuía software malicioso
con el fin de robar contraseñas.
• CryptoLocker
Fecha de Infección: Septiembre de 2013 .
Funcionamiento: Genera un par de claves de 2048-bit del tipo RSA con las que se controla el servidor y se
cifran archivos de un tipo de extensión específica. El virus elimina la clave privada a través del pago de un
Bitcoin o un bono prepago en efectivo dentro de los 3 días luego de la infección. Debido al largo de la clave
utilizada, se considera que es extremadamente difícil de reparar el ingreso de la infección a un sistema.
CryptoLocker fue aislado gracias a que incautaran la red Gameover ZeuS, anunciado oficialmente por el
Departamento de Justicia de los Estados Unidos el 2 de junio de 2014.
Autor del Virus: Ciberdelincuente Ruso Evgeniy Bogachev (Евгений Богачев).
• CryptoLocker.F and TorrentLocker
Fecha de Infección: Septiembre de 2014.
Funcionamiento: Los usuarios deben ingresar a una página web y mediante un código CAPTCHA acceder a la
misma, antes de que el malware sea descargado, de esta manera se evitó que procesos automáticos puedan
escanear el malware.
Reporte: Symantec, determinó la aparición de nuevas variantes conocidas como CryptoLocker, el cual no tenía
ninguna relación al original debido a sus diferencias.
5

6. Tipos de Ransonware.
• TorrentLocker
Fecha de Infección: Sin Información.
Funcionamiento: Tipo de infección con un defecto ya que usaba el mismo flujo de claves para cada uno de los
computadores que infectaba, el cifrado paso a ser trivial pero antes de descubrirse ya habían sido 9.000 los infectados en
Australia y 11.700 en Turquía.
• CryptoWall
Fecha de Infección: 2014.
Funcionamiento: Bajo el nombre de CryptoDefense orientado a sistemas Microsoft Windows. Se propaga a través de e-mail
de suplantación de identidad (pishing), los cuales usan software de explotación (exploit).
• CryptoWall 3.0
Inicio de Infección: Enero 2015.
Funcionamiento: usa una sobrecarga escrita en Javascript, la cual baja archivos ejecutables .exe disfrazados en archivos con
extension .jpg.
• CryptoWall 4.0
Inicio de Infección: 2015.
Funcionamiento: Potenciado para además de encriptar los nombres de los archivos, encripta el contenido de ellos y
potenciado para salir del control de los Antivirus.
6

7. Sistemas con posibilidad de
Contaminación.
7
Windows
Mac
Android

8. Mitigación.

9. Aplicación de Políticas de Respaldo y
Seguridad.
Al llegar un Virus Informático, a nuestro Hogar o a la Empresa de estas características,
hace ver inmediatamente nuestras debilidades informáticas en nuestros Sistemas. También nos
muestra nuestras vulnerabilidades de Infraestructura Informática.
1-Seguridad vía Procedimientos.
2-Seguridad Infraestructura TI.
3-Ver Funcionamiento de Ransomware.
4-Consejos para Pre-Evaluación.
5-Ransonware via Teamviewer.
9

10. 1-Seguridad Básica vía Procedimientos.
Buenas prácticas de los Usuarios.
Nuestros computadores en el Hogar o en la Empresa deben ser cuidados no solo por la
gente de Infraestructura TI, sino también por nosotros los Usuarios.
• No abrir Correos Electrónicos de remitentes desconocidos.
• No abrir páginas web (urls) desconocidas desde ninguna parte.
• No bajar y/o Instalar software no permitido.
• No compartir Carpetas a todos los usuarios.
• Compartir Carpetas solo a Usuarios específicos.
• Cambiar Claves de Logon o Inicio de sesión con alta frecuencia.
• Instalación de un Antivirus debe ser obligatoria.
• No permitir bajar Archivos que no hemos pedido en el Navegador.
• No permitir ejecución de Scripts desconocidos en el Navegador.
• No usar Archivos que contengan Macros, excepto sistemas internos de la Empresa construidos en algún software
de Ofimática. (Validado por la gente de Seguridad TI).
• Respaldar Archivos de trabajo en Formato .zip o .rar una o dos veces al día en algún medio de respaldo externo,
pendrive, disco duro externo, etc. (Previamente verificado y limpio de contaminación).
• No Ejecutar Archivos .exe, .cmd, .bat, .vbs, .js, etc. que no conozcamos.
10

11. 2-Seguridad Infraestructura TI.
Buenas prácticas del Área TI.
Las Empresas en su Área TI debieran tener implementadas las siguientes prácticas para
evitar focos de contaminación en los Computadores de los usuarios y en sus Servidores de Datos.
Servidores
• Sistemas Operativos Actualizados a la última versión posible.
• Sistemas Operativos Actualizados siempre con Parches y Fix de forma Temporizada.
• Servidores Respaldados tomando como punto de restauración Instalación de Software o Actualización de Parches.
• Servidores Auditados para mantener Tableros de Actualizaciones, Versiones de Aplicaciones, Actualizaciones, etc.
• Servidores con AD (Windows), Kerberos (Linux), Open directory (Mac) Auditados para Gestión y Reportería.
• Monitoreo de Aplicaciones Ejecutándose en Computadores de la Red.
• Scripting para Inicio / Termino de Programas y/o Servicios.
• Scripting para seguridad de Archivos, Carpetas.
• Scripting para bloqueo de ejecución de Archivos.
• Scripting para borrado automáticos de temporales (usuarios y sistema) y/o carpetas de trabajo.
• Scripting para Auditoria de carpetas compartidas.
11

12. 2-Seguridad Infraestructura TI.
Buenas prácticas del Área TI.
Redes
• Actualización de Firmware a Hardware no Servidor. Equipos Biométricos, Switches, Routers, Camaras ip, etc.
• Administración de Equipos de Switch y Routers con SSH y Generación de Claves(RSA).
• Implementación de VLAN para reducir el dominio de Broadcast.
• Routers, Switch y Routers con aislación con respecto a Servidores.
• Actualización de Hash por Puerto.
• Firewall y ACL gestionados por IP.
• Proxy, DMZ y HoneyPots.
Seguridad
• Respaldo diario de Archivos de Trabajo en Computadores de la Empresa (Compactación, Backup, etc.).
• Antivirus Corporativo.
• Permanentes Actualizaciones de Archivos de Definición de Datos.
• Uso de Removal Tools Corporativos para Amenazas que son excepciones y no tratables por Antivirus.
Email
• Políticas de Respaldo de las Bases de Datos de correo.
• Gestión de Bloqueo de Contenido de Archivos Adjuntos.
12

13. 3-Ver Funcionamiento de
Ransomware.
Demo en Ambiente Seguro
Lo que nunca deben hacer !!!!
Fíjense en los nombres de Archivos, nunca hacer click, doble click o ejecutar, incluso pueden
venir con nombres de su empresa, estos aparecen por lo general en carpetas compartidas,
descargas, escritorio ya sea por una falla de seguridad o porque fueron bajados de un correo.
13

14. 3-Ver Funcionamiento de
Ransomware.
Ya es tarde !!!!
Ransonware ya funciono y se activo como troyano, encrypto ciertos archivos de
tu computador Y ahora te obligaran a pagar un rescate de estos:
14

15. 4-Consejos para Evaluación.
• Profesionales encargados y dedicados a la Seguridad permanente en la Empresa.
• Investigación permanente sobre Amenazas y virus informáticos.
• Hacking Ético.
• Simulación de Ataque Grave a Empresa (¿Qué Pasaría?).
• Ayuda permanente con Empresas proveedoras de Antivirus en su Heurística,
proporcionando feedback de Amenazas.
15

16. 5-Ransonware via Teamviewer.
• Técnicamente no tiene diferencia con los otros tipos de la familia crypto-ransomware. Usa
un algoritmo AES-256 para encriptar archivos y RSA-2048 para asegurar las llaves de
encriptación de cada archivo con una llave maestra subida en un servidor C&C.
• Ataca 474 diferentes extensiones de archivo y usa archivos batch para remover las shadow
copies del disco duro, haciendo inútil el proceso de auto recuperación.
• Hackers buenos han usado un backdoor del virus para ayudar a las victimas del Ransonware
Gratuitamente a recuperar los archivos, pero los servidores C&C fueron bajados haciendo el
backdoor inutilizable, y haciendo que incluso pagando los archivos sean imposibles de
recuperar.
•No Agregue contactos desconocidos a Teamviewer, y mejore esporádicamente su seguridad.
16

17. Extensiones de Archivos que Infecta.
•".asf", ".pdf", ".xls", ".docx", ".xlsx", ".mp3", ".waw", ".jpg", ".jpeg", ".txt", ".rtf", ".doc", ".rar", ".zip", ".psd", ".tif", ".wma", ".gif", ".bmp",
".ppt", ".pptx", ".docm", ".xlsm", ".pps", ".ppsx", ".ppd", ".eps", ".png", ".ace", ".djvu", ".tar", ".cdr", ".max", ".wmv", ".avi", ".wav", ".mp4",
".pdd", ".php", ".aac", ".ac3", ".amf", ".amr", ".dwg", ".dxf", ".accdb", ".mod", ".tax2013", ".tax2014", ".oga", ".ogg", ".pbf", ".ra", ".raw",
".saf", ".val", ".wave", ".wow", ".wpk", ".3g2", ".3gp", ".3gp2", ".3mm", ".amx", ".avs", ".bik", ".dir", ".divx", ".dvx", ".evo", ".flv", ".qtq", ".tch",
".rts", ".rum", ".rv", ".scn", ".srt", ".stx", ".svi", ".swf", ".trp", ".vdo", ".wm", ".wmd", ".wmmp", ".wmx", ".wvx", ".xvid", ".3d", ".3d4", ".3df8",
".pbs", ".adi", ".ais", ".amu", ".arr", ".bmc", ".bmf", ".cag", ".cam", ".dng", ".ink", ".jif", ".jiff", ".jpc", ".jpf", ".jpw", ".mag", ".mic", ".mip",
".msp", ".nav", ".ncd", ".odc", ".odi", ".opf", ".qif", ".xwd", ".abw", ".act", ".adt", ".aim", ".ans", ".asc", ".ase", ".bdp", ".bdr", ".bib", ".boc",
".crd", ".diz", ".dot", ".dotm", ".dotx", ".dvi", ".dxe", ".mlx", ".err", ".euc", ".faq", ".fdr", ".fds", ".gthr", ".idx", ".kwd", ".lp2", ".ltr", ".man",
".mbox", ".msg", ".nfo", ".now", ".odm", ".oft", ".pwi", ".rng", ".rtx", ".run", ".ssa", ".text", ".unx", ".wbk", ".wsh", ".7z", ".arc", ".ari", ".arj",
".car", ".cbr", ".cbz", ".gz", ".gzig", ".jgz", ".pak", ".pcv", ".puz", ".rev", ".sdn", ".sen", ".sfs", ".sfx", ".sh", ".shar", ".shr", ".sqx", ".tbz2", ".tg",
".tlz", ".vsi", ".wad", ".war", ".xpi", ".z02", ".z04", ".zap", ".zipx", ".zoo", ".ipa", ".isu", ".jar", ".js", ".udf", ".adr", ".ap", ".aro", ".asa", ".ascx",
".ashx", ".asmx", ".asp", ".indd", ".asr", ".qbb", ".bml", ".cer", ".cms", ".crt", ".dap", ".htm", ".moz", ".svr", ".url", ".wdgt", ".abk", ".bic", ".big",
".blp", ".bsp", ".cgf", ".chk", ".col", ".cty", ".dem", ".elf", ".ff", ".gam", ".grf", ".h3m", ".h4r", ".iwd", ".ldb", ".lgp", ".lvl", ".map", ".md3",
".mdl", ".nds", ".pbp", ".ppf", ".pwf", ".pxp", ".sad", ".sav", ".scm", ".scx", ".sdt", ".spr", ".sud", ".uax", ".umx", ".unr", ".uop", ".usa", ".usx",
".ut2", ".ut3", ".utc", ".utx", ".uvx", ".uxx", ".vmf", ".vtf", ".w3g", ".w3x", ".wtd", ".wtf", ".ccd", ".cd", ".cso", ".disk", ".dmg", ".dvd", ".fcd",
".flp", ".img", ".isz", ".mdf", ".mds", ".nrg", ".nri", ".vcd", ".vhd", ".snp", ".bkf", ".ade", ".adpb", ".dic", ".cch", ".ctt", ".dal", ".ddc", ".ddcx",
".dex", ".dif", ".dii", ".itdb", ".itl", ".kmz", ".lcd", ".lcf", ".mbx", ".mdn", ".odf", ".odp", ".ods", ".pab", ".pkb", ".pkh", ".pot", ".potx", ".pptm",
".psa", ".qdf", ".qel", ".rgn", ".rrt", ".rsw", ".rte", ".sdb", ".sdc", ".sds", ".sql", ".stt", ".tcx", ".thmx", ".txd", ".txf", ".upoi", ".vmt", ".wks",
".wmdb", ".xl", ".xlc", ".xlr", ".xlsb", ".xltx", ".ltm", ".xlwx", ".mcd", ".cap", ".cc", ".cod", ".cp", ".cpp", ".cs", ".csi", ".dcp", ".dcu", ".dev",
".dob", ".dox", ".dpk", ".dpl", ".dpr", ".dsk", ".dsp", ".eql", ".ex", ".f90", ".fla", ".for", ".fpp", ".jav", ".java", ".lbi", ".owl", ".pl", ".plc", ".pli",
".pm", ".res", ".rsrc", ".so", ".swd", ".tpu", ".tpx", ".tu", ".tur", ".vc", ".yab", ".aip", ".amxx", ".ape", ".api", ".mxp", ".oxt", ".qpx", ".qtr", ".xla",
".xlam", ".xll", ".xlv", ".xpt", ".cfg", ".cwf", ".dbb", ".slt", ".bp2", ".bp3", ".bpl", ".clr", ".dbx", ".jc", ".potm", ".ppsm", ".prc", ".prt", ".shw",
".std", ".ver", ".wpl", ".xlm", ".yps", ".1cd", ".bck", ".html", ".bak", ".odt", ".pst", ".log", ".mpg", ".mpeg", ".odb", ".wps", ".xlk", ".mdb", ".dxg",
".wpd", ".wb2", ".dbf", ".ai", ".3fr", ".arw", ".srf", ".sr2", ".bay", ".crw", ".cr2", ".dcr", ".kdc", ".erf", ".mef", ".mrw", ".nef", ".nrw", ".orf", ".raf",
".rwl", ".rw2", ".r3d", ".ptx", ".pef", ".srw", ".x3f", ".der", ".pem", ".pfx", ".p12", ".p7b", ".p7c", ".jfif", ".exif", ".rar"
17

18. -Presentación solo de Lectura, sin Macros y Libre de contaminación.
-Microsoft Windows es propiedad de Microsoft Corporation. Todos los derechos reservados.
-Logo Android y Android son propiedad de Google. Todos los derechos reservados.
-Linux es propiedad de Linux. Todos los derechos reservados.
Presentación construida con software original Microsoft Windows,
Microsoft Office.
Gracias