Reglas de grupo para proteger un servidor Windows del troyano Cryptolocker

Estos días la enésima mutación de Cryptolocker está generando problemas a muchos usuarios y administradores. Como siempre el tener una buena política de copias de seguridad, el sistema actualizado, una política de contraseñas fuerte y un control adecuado sobre los permisos de los usuarios serán los cimientos de nuestra defensa. En caso de sufrir un ataque que este afecte al menor número de archivos posible y que estos sean recuperables. Pero al final la desinfección y recuperación de datos lleva un rato de trabajo ¿hay una manera de protegerse? Bueno, con algunas versiones de Cryptolocker, no con todas, es posible evitar su impacto generando una regla de grupo que no permita ejecutar archivos desde las ubicaciones en las que este habitualmente se aloja.

En la configuración de seguridad local te vas crear una nueva Directiva de restricción de Software. Alguno pensará en que se podría hacer con una directiva basada en el hash del virus pero hay dos problemas: a) Que para eso tendríamos que tener el exe del virus (aunque esto es conseguible) b)Que nos lo solucionaría para esta versión de Cryptolocker, pero la próxima mutación con algún cambio en el código ya tendría un hash distinto. ¿Cual es la idea? Pues crear una directiva basada en el bloqueo de rutas, que funciona contra varias versiones del virus.

Como ya decíamos, el primer paso es crear una nueva directiva de bloqueo de software:

directiva de bloqueo de software

Una vez creada la directiva la cosa es ir creando una serie de Reglas de Nueva Ruta para cada una de estas excepciones, marcándolas como No Permitidas (Disallowed si tienes el servidor en inglés):

%AppData%\
%AppData%\*\
%localappdata%\
%localappdata%\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\*\
%Temp%\
%Temp%\$*\
%Temp%\*.zip\
%userprofile%\
%AppData%\*.scr
%AppData%\*\*.scr
%UserProfile%\Local Settings\Temp\rar*\*.scr
%UserProfile%\Local Settings\Temp\7z*\*.scr
%UserProfile%\Local Settings\Temp\wz*\*.scr
%UserProfile%\Local Settings\Temp\*.zip\*.scr
%UserProfile%\Local Settings\Temp\*.cab\*.scr
%UserProfile%\Local Settings\Temp\*.scr
%UserProfile%\Local Settings\Temp\*\*.scr

Es posible que estas reglas bloqueen algún software que quieras utilizar, en ese caso puedes crear excepciones para esas aplicaciones creando un nueva regla y dándole un perfil con más permisos. Esto no garantiza protección total, ya que desde hace un par de años cada X meses aparece una nueva variante del malware más puñetera que la anterior, pero al menos sí te ayudará a minimizar el efecto de algunas de las versiones hasta ahora conocidas.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s