Reglas de grupo para proteger un servidor Windows del troyano Cryptolocker

Estos días la enésima mutación de Cryptolocker está generando problemas a muchos usuarios y administradores. Como siempre el tener una buena política de copias de seguridad, el sistema actualizado, una política de contraseñas fuerte y un control adecuado sobre los permisos de los usuarios serán los cimientos de nuestra defensa. En caso de sufrir un ataque que este afecte al menor número de archivos posible y que estos sean recuperables. Pero al final la desinfección y recuperación de datos lleva un rato de trabajo ¿hay una manera de protegerse? Bueno, con algunas versiones de Cryptolocker, no con todas, es posible evitar su impacto generando una regla de grupo que no permita ejecutar archivos desde las ubicaciones en las que este habitualmente se aloja.

En la configuración de seguridad local te vas crear una nueva Directiva de restricción de Software. Alguno pensará en que se podría hacer con una directiva basada en el hash del virus pero hay dos problemas: a) Que para eso tendríamos que tener el exe del virus (aunque esto es conseguible) b)Que nos lo solucionaría para esta versión de Cryptolocker, pero la próxima mutación con algún cambio en el código ya tendría un hash distinto. ¿Cual es la idea? Pues crear una directiva basada en el bloqueo de rutas, que funciona contra varias versiones del virus.

Como ya decíamos, el primer paso es crear una nueva directiva de bloqueo de software:

directiva de bloqueo de software

Una vez creada la directiva la cosa es ir creando una serie de Reglas de Nueva Ruta para cada una de estas excepciones, marcándolas como No Permitidas (Disallowed si tienes el servidor en inglés):

%AppData%\
%AppData%\*\
%localappdata%\
%localappdata%\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\
%localappdata%\Microsoft\Windows\Temporary Internet Files\Content.Outlook\*\*\
%Temp%\
%Temp%\$*\
%Temp%\*.zip\
%userprofile%\
%AppData%\*.scr
%AppData%\*\*.scr
%UserProfile%\Local Settings\Temp\rar*\*.scr
%UserProfile%\Local Settings\Temp\7z*\*.scr
%UserProfile%\Local Settings\Temp\wz*\*.scr
%UserProfile%\Local Settings\Temp\*.zip\*.scr
%UserProfile%\Local Settings\Temp\*.cab\*.scr
%UserProfile%\Local Settings\Temp\*.scr
%UserProfile%\Local Settings\Temp\*\*.scr

Es posible que estas reglas bloqueen algún software que quieras utilizar, en ese caso puedes crear excepciones para esas aplicaciones creando un nueva regla y dándole un perfil con más permisos. Esto no garantiza protección total, ya que desde hace un par de años cada X meses aparece una nueva variante del malware más puñetera que la anterior, pero al menos sí te ayudará a minimizar el efecto de algunas de las versiones hasta ahora conocidas.

Anuncios

Archivos encriptados OMG : Protegerse de este ransomware y eliminarlo

En el pasado ya hablamos por aquí del popularmente llamado virus GEMA o virus de la policía, tanto en su versión para Windows como su menos dañina y más fácil de eliminar versión para Mac.Entre otras cosas también hablamos de cómo desencriptar los archivos que este virus encriptaba. El problema viene con que este ransomware es bastante cabrón y utiliza una encriptación extremadamente fuerte, ni con Panda ni con el Rahno Decryptor… nada, he probado mucho software pero no hay manera. Hay gente que dice que pagaron y les enviaron el programa para desencriptar, pero yo no estaría muy seguro, por mi parte no lo haría. Hay quien dice que ha logrado desencriptar los archivos OMG con el programa MBLBlock pero yo no he sido capaz de recuperar los ficheros. En todo caso, o dejo un enlace a un tutorial sobre como usarlo por si queréis probar.Eso sí, no os lancéis a ello antes de desinfectar el equipo. Esta nueva encarnación del malware suele aparecer como Anti-child Porn Spam Protection.

Tras la decepción de las, hasta el momento, pocas posibilidades de recuperación vamos con la desinfección y la protección:

En el primer caso el tutorial sobre MBLBlock da una serie de pautas, podéis seguirlas, si bien yo lo hice de otra forma. En mi caso simplemente arranqué en modo seguro con funciones de red, instalé y ejecuté un análisis a fondo con Malwarebytes y la cosa funcionó. Finiquité limpiando el registro con CCleaner.

Una vez desinfectado vamos con los consejos de protección. Consejos que si todavía no habéis sido atacados también deberíais tener en cuenta.

  • Los principales antivirus detectan este ransomware. El problema es que la infección suele llegar a través de un ataque que permite a quien lo realiza conectarse al servidor y desconectar el antivirus. La protección residente entonces se torna inútil, por lo que tendrás que llevar a cabo unas políticas de seguridad más activas.
  • Comentado esto una primera opción es, desde luego, poner una contraseña fuerte para dificultar los ataques por fuerza bruta, una contraseña larga (más de 12 caracteres) que combine letras mayúsculas, minúsculas, símbolos y números y que no utilice nombres, palabras que estén en un diccionario (sobre todo palabras inglesas) o fechas.
  • Tener el sistema actualizado desde luego es básico: instalad las actualizaciones de seguridad pertinentes tanto de Windows como del software que uséis. Los parches MS13-029 o MS13-030 son necesarios para hacerla todavía más robusta.
  • Cambiando el puerto de escucha de Terminal Server conseguiréis dificultar el ataque. Los atacantes suelen probar a lanzar una petición al puerto 3389 (que es el puerto por defecto de Terminal Server) para continuar con un ataque por fuerza bruta para romper la contraseña, pero si no reciben respuesta de ese puerto es poco probable que sigan intentándolo. Así que cambiando el puerto por defecto se consigue una protección extra. En este artículo de la web de Microsoft veréis cómo hacerlo
  • En vista de que las posibilidades de recuperar los datos son, por el momento, bajas una política activa de backups, almacenados en otra ubicación, permitirá al menos restaurar parte de los archivos que podáis perder por el ataque
  • Todo esto no garantiza nada ya que la seguridad total y perfecta es una quimera, pero dificultará el ataque. La idea de los atacantes es la de extorsionarte así que si ven que les va a dar mucho trabajo lo más probable es que te dejen y se busquen una presa más fácil, porque no les resultará rentable.

En fin, si no os han atacado todavía comenzad con una política activa de defensa. Si ya lo han hecho, desinfectad y ponéos las pilas para que no vuelvan a cazaros. Si sabéis de alguna herramienta fiable para desencriptar los archivos estaré muy agradecido de que lo pongáis en los comentarios, a ver si en un tiempo aparece algo para solucionarlo, porque ya hace unos meses que se vienen sufriendo estos ataques, según he podido comprobar en San Google.

Eliminar Globososo.com de nuestro equipo

Etos tres últimos días he visto que he recibido varias visitas a través de Globososo.com, lo cual me ha hecho pensar “debe ser un browser-hijacker y seguro que más de un lector se lo quiere cargar“. El adware últimamente prolifera mucho, así que como siempre os digo, ojito cuando instaláis cosas, leed bien los mensajes que os da el instalador porque este coñazo de software suele instalarse como si fuera software legítimo.

En todo caso lo primero es iros al Panel de Control de Windows, a Eliminar Programas y allí lo desinstaláis. Si no os deja porque “está en uso” (o alguna milonga similar) pues Ctrl+alt+supr y allí matáis el proceso (creo que se llama Globososo.exe). Ahora hay que quitarlo de los navegadores. Ahí “asegún”, porque depende del que tengáis:

  • Mozilla Firefox: Tenéis que ir al menú de Ayuda. Ahí entráis en Información para Solucionar Problemas y cuando estéis dentro pulsáis el botón gordo de Restablecer Firefox.
  • Google Chrome: Primero te vas a Herramientas, y allí buscas Extensiones, y te fijas que no haya una herramienta de Globososo. Luego te vas a Configuración y en la sección Busca eliges de nuevo Google (o el motor de búsqueda que quieras por defecto).
  • IE: Vas a Herramientas/Opciones de Internet. Ahí vas a la pestaña de Opciones Avanzadas y pulsas Restablecer. Te dará unos warnings de que se van a borrar tus configuraciones personales. En fin, mala suerte pero al carajo se van.

Ok, ya tienes limpios los navegadores, pero todavía no hemos acabado. Ahora toca hacer varias cosas. La primera es que te descargues el AT-Destroyer que de buen rollo nos proporcionan los colegas de Infospyware. Lo siguiente es que hagas lo mismo con Adwcleaner y de terceras me metéis también en el pack el CCleaner. Los instaláis, desconectáis vuestro antivirus habitual (ya lo pondréis a andar de nuevo cuando la cosa esté acabada, pero si lo tenéis activado durante la limpieza es posible que provoque conflictos con las herramientas que vamos a usar), reiniciáis y, durante el reinicio, pulsáis F8 hasta que os salga el menú donde podéis seleccionar “Iniciar en Modo Seguro”.

Una vez en modo seguro lo primero es que lancéis el AT-Destroyer antes descargado. Le pulsáis a Search and Destroy y esperáis. Cuando acabe os pedirá reiniciar. Obedeced.

Tras este nuevo reinicio ejecutáis Adwcleaner, pulsáis Delete (o Suprimir, o Supresión, depende del idioma en que instaléis) y esperáis a que acabe. Cuando termine reiniciáis.

Ahora lo mejor es que paséis un antivirus en la nube, probad en este caso con Panda Cloud, aunque si tenéis otro preferido también valdrá. El caso es comprobar que no haya nada raro por el equipo.

Y para finalizar, como siempre desinstaláis todo lo que habéis necesitado para la limpieza, y ejecutáis CCleaner  para limpiar coockies y basurillas varias, y de paso ponéis un poco en orden el registro.

Con esto Globososo debería ser historia en vuestro equipo.

Quitar barra de Hola Search

Ayer la gente de Questionarity me comentó que podría ser interesante hablar de otro adware, Hola Search, que según parece se está extendiendo bastante entre equipos con Windows, metiéndose en Chrome, Safari, Explorer o Firefox. Se trata de otro de esos browser hijackers (secuestrador de navegadores) que se instalan a traición como un programa legítimo al descargar software de ciertas fuentes (teóricamente legítimas), te redirige las búsquedas a una página fraudulenta, te cambia la página de inicio y te bombardea con publicidad . Yo como siempre insistiré en que si queréis instalar algo lo hagáis siempre desde la web del fabricante, que los terceros suelen colar estas cosas. Tranquilo, ya nos hemos ocupado de cosas así antes y lo bueno de este tipo de malware es que es muy evidente su infección, por su propia naturaleza, no es silencioso.

He de reconocer que en este  caso todavía no me las he visto con este cabroncete, pero hice una simulación con una máquina virtual, forzando la infección en un Windows Server 2k3.

En fin, la prevención está bien para el futuro, pero seguro que lo que te interesa ahora mismo es ver cómo te cargas esto. En fin, casi todo el Adware se elimina de la misma forma, y este Hola Search no es una excepción. Todo es cuestión de bajarse una serie de programas para liquidarlo (luego vendrán los comentarios “Pues yo lo desinstalé y ya va”… vale bonito, ya verás qué risa cuando reinicies) y ejecutarlos. Lo primerito, para evitar conflictos: desactiva tu antivirus habitual. Ya lo pondrás a rular después.

Primero los colegas de Infospyware nos proporcionan AT-Destroyer, lo descargas, instalas, ejecutas, le das a Search and Destroy y esperas. Cuando acabe os pedirá reiniciar. Obedeced.

Todavía no está acabada la cosa. Comprobad que no se ha reactivado el antivirus en el reinicio, y si lo ha hecho lo desactiváis otra vez. Ahora toca descargar Adwcleaner. El procedimiento es como antes: descargáis, instaláis, ejecutáis y pulsáis Delete. Cuando acabe, otra vez a reiniciar.

Ahora lo mejor es que paséis un antivirus en la nube, probad en este caso con Panda Cloud, aunque si tenéis otro preferido también valdrá. El caso es comprobar que no haya nada raro por el equipo.

Y para finalizar, como siempre desinstaláis todo lo que habéis necesitado para la limpieza, descargáis CCleaner y lo usáis para limpiar coockies y basurillas varias, y de paso ponéis un poco en orden el registro.

Y con todo esto ya deberíais tener vuestro navegador (sea Chrome, Firefox o Explorer) y vuestro equipo limpito de Hola Search (y puede que de otra cosa más disimulada que estuviera también espiándoos)

Eliminar Genius Box

Ya sabéis que de vez en cuando me toca hacer labores de mantenimiento de equipos. Generalmente cuando alguien me trae un equipo es con algún Windows y les está funcionando lento. Lo habitual es que el disco duro esté muy fragmentado, el arranque de Windows no esté muy optimizado, haya un montón de basura en los archivos temporales, el registro esté hecho un Cristo… y rara es la vez que no aparece algún malware.

El último con el que me he topado es con Genius Box Pop Up. El típico adware que se instala a traición en tu equipo (como Lollipop) cuando descargas software de ciertas páginas y del que luego no hay dios que se libre. En este caso se instala como un complemento en el navegador. Como puede venir con programas lícitos la mejor forma de no infectarse es descargar el software de la web del fabricante y andar con ojo durante la instalación porque suelen colar como letra pequeña un checkbox donde te preguntarán si quieres instalarlo o no (y por defecto vendrá marcado como sí).

Resumiendo, que este adware se te va a instalar como un complemento del navegador y te va a dar la murga mientras navegas al más puro estilo del antes citado Lollipop o del Babylon Search.

Pero don’t worry man, que es eliminable en unos cómodos pasos:

    • Lo primerito, te vas a Panel de Control, a la opción de Quitar o reparar Programas y desde ahí intentas eliminarlo (puede que te deje o puede que no, pero tú prueba).
    • Lo segundo, vete a cada navegador, a su opción de eliminar complementos y bórralo. Aquí tienes como hacerlo en Firefox , aquí como apañarte con Explorer, aquí de Chrome y, para acabar, aquí de Opera. La extensión debería llamarse Genius Box o Genius Box Pop Up.
    • Ahora tocar reiniciar, y en el arranque pulsas F8 hasta que te salga el menú para elegir MODO SEGURO CON FUNCIONES DE RED.
    • Una vez reiniciado y con el modo seguro con red puesto te vas a la web de Malwarebytes y te lo descargas. Lo instalas, le dejas que haga la actualización (siempre te pedirá hacer una al acabar de instalarse) y lo pones a hacer un análisis completo (no te explico cómo porque es muy intuitivo). Cuando acabe le das a que repare todo el malware encontrado.
    • Te descargas, cuando acabe, el AT Destroyer, lo instalas, lo ejecutas y en la pantalla principal pulsas BUSCAR Y DESTRUIR. Si pilla algún archivo infectado te lo mostrará en rojo.
    • Y finalmente te descargas CCleaner, lo instalas, limpias el historial y la basura del equipo y usas la herramienta de registro para dejarlo bien reparadito.
    • Antes de acabar desinstala AT Destroyer (y si tienes un antivirus también Malwarebytes, porque si no crearán conflictos)

Y con esto ya está solucionado el asunto del coñazo de Genius Box. Y ahora vete con más ojito para que no te vuelva a pasar.

Eliminar virus del FBI de OS X y Safari (Mac)

Aunque dije que no daría soporte a Maqueros en mi blog, al final acabo siendo blando y comentando alguna cosilla. Además, los inconscientes suelen ir por la vida sin antivirus ni cuidado porque les han dicho que “para Mac no hay virus”.

En fin, seguro que hace unos meses… bueno, realmente hace más de un año, leísteis por aquí cómo eliminar el virus de la policía. En fin, pues ahora los usuarios de Mac tienen su propia versión de dicho malware, al menos según ha detectado la gente de Malwarebytes. Como en Mac todo es más grandilocuente en este caso este ransomware en lugar de amenazarte haciéndose pasar por la policía lo hace como si fuera el FBI (mucho más glamouroso, donde va a parar).

Virus FBI Safari OS X
Captura de pantalla del virus desde la web de Malwarebytes

Por suerte para el usuario maquero el virus es menos jodón que en Windows (alguno dirá “ves, hasta los virus son más sencillos de usar en mi Mac”), básicamente porque en lugar de secuestrar el sistema secuestra el navegador Safari (eso pasa por usar Safari y no un navegador de verda). Esto hará que cuando el usuario entre en dicho navegador le salga la página de “El FBI te va a joder pero bien” y si intenta salir una función de Javascript le bloqueará, obligándole a matar el proceso del navegador.

Virus FBI pop up OS X Safari
Captura del mensaje que no te deja cerrar el navegador

La desinfección es simple: basta con borrar la caché del navegador, el historial del navegación y las cookies. Al hacer esto la página maliciosa desaparecerá del navegador y el usuario ya podrá volver a navegar normalmente. Es decir, secuestro al guano.

Javascript Virus FBI Safari OS X
Parte del Javascript que bloquea tu navegador, sacado de MalwareBytes

Curiosamente el otro día descargando un juego del Google Play (tranquilos, fue retirado a los pocos minutos) me instaló un malware similar en el navegador nativo de Android (que me redireccionaba por javascript y no me dejaba navegar), y la solución era la misma: borrar caché, borrar datos del navegador… y pista.

 

Virus de la doble tilde

¿Estás escribiendo y al acentuar te salen dos tildes tal que escribes así: cami´´on? Ok, esto es una clara señal de alarma, no sólo porque sea un coñazo para escribir con una correcta ortografía (que lo es) sino porque además es la confirmación de que estás infectado por el troyano ZBot “ZeuS”. De hecho el que aparezcan dos tildes realmente es un error de programación interno de dicho troyano, un conflicto que se genera al usar la configuración de idioma en español. El objetivo primordial de dicho troyano es capturar datos y contraseñas, pero por un fallo hace que el caracter ‘ se duplique (los creadores lo pensaron sólo para troyanizar equipos con configuración de idioma inglés).

Yo os voy a dar mi solución, y si no os funciona os adjunto otra de Foro Spyware.

Con mi método la idea es que instaléis HijackThis, reiniciéis el equipo en modo seguro, ejecutéis HijackThis y pulséis “Do a system scan only”. Ahí en el log buscáis un entrada similar a esta: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=grupo La dirección puede ser distinta dependiendo de la versión del virus. En general os mostrará las páginas de inicio de Explorer, asi que la idea es que os fijéis en las direcciones y marquéis las que no cuadren, las que creáis que no deberían estar (por ejemplo, sería normal que apareciera HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es ). Luego buscad también dos con este formato: URLSearchHook: (no name) – {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} – (no file) y BHO: (no name) – {5C255C8A-E604-49b4-9D64-90988571CECB} – (no file). Lo básico es el (no name) y el (no file). Las marcáis y pulsáis “Fix Checked”. Tras esto reiniciáis y pasáis el CCleaner para limpiar el registro y las cookies.

Si os parece muy lioso andar mirando y comprobando las URL, en Foro Spyware os ofrecen una solución usando TDDSKiller que también funciona muy bien. Así que si la véis más asequible podéis probarla, que debería funcionar.