CatDialeg
CatDialeg
CatDialeg
CatDialeg
Ransomware: què és i com defensar-se Ransomware: què és i com defensar-se

Ransomware: què és i com defensar-se

El CNI ha publicat mesures per evitar infectar-se del Ransom.WannaCry, el virus que ha atacat a empreses com Telefónica. Diverses fonts adverteixen que moltes empreses avui han extremat les precaucions tallant, fins i tot, la connexió directa amb empreses terceres.
SocietatZPortada IzquierdaZResto 15 maig, 2017 Francesc García Mestres 0
5 / 5 (2 votes)

Inici » Historic » Ransomware: què és i com defensar-se

Tweet about this on TwitterShare on Google+0Share on Facebook31Share on LinkedIn3Email this to someonePrint this page

Empreses i organismes públics de tota Europa han patit una sèrie d’atacs informàtics a les seves instal·lacions. El virus, de nom Ransom.WannaCry i de tipus ransomware, bloqueja l’accés dels arxius de les unitats d’emmagatzematge tant locals com de la xarxa. A més a més de portar a terme un ús segur dels ordinadors, el Centre Criptològic Nacional (del CNI) recomana una sèrie de mesures per a particulars i grans empreses.

Ransomware

Exemple de segrest d’un ordinador. En aquest cas, a diferència del virus que ha infectat milers d’ordinadors en els darrers dies, força a l’usuari de realitzar el pagament abans de l’inici del sistema operatiu. Font: media.licdn.com.

 

El Centre Criptològic dels serveis d’intel·ligència d’Espanya, en un extens informe sobre la situació actual per enfrontar-se, posa accent en l’existència d’un gran nombre d’arxius infectats que circulen per la xarxa tant en l’àmbit particular com a professional. Una de cada catorze descàrregues porta un contingut de codi que és perjudicial.

En el cas del Ransomware l’atac pot passar més desapercebut pel sistema operatiu i per l’usuari que en altres atacs informàtics. La infecció es produeix mitjançant una altra màquina infectada fent servir l’exploit (explotació de vulnerabilitat) MS17-010 i per sessions d’escriptori remot (controlen directament el teu equip). Primer de tot s’executa el ransomware a l’interior del teu ordinador. Si comprova que existeix un domini a internet, en cas afirmatiu s’apaga. Per tal d’assegurar la seva supervivència a l’ordinador, el virus crea serveis del sistema, copies en diferents carpetes i crea una entrada seva al registre de Windows.

El virus comença a xifrar arxius del disc dur, els fa il·legibles, fins a arribar a capturar el màxim possible. Una vegada finalitza el procés de segrest d’informació apareix en pantalla una finestra amb les instruccions per poder recuperar els arxius (mitjançant un pagament). Per aquest motiu el nom d’aquest malware és ransom (rescatament en anglès).

Ransomware

Filtració d’una fotografia de la seu afectada pel virus de Telefónica. Si no s’executa el pagament, en aquest cas de 300 dòlars (en bitcoins) per ordinador, el ransomware et fa impossible recuperar la informació. Font: zonamovilidad.es

 

El criminal, per tal de no ser identificat, rep el pagament en monedes no traçable com el Bitcoin. L’enviament dels diners acaba en una xarxa  d’alt anonimat, com la xarxa Tor, fent quasi impossible tota investigació contra el hacker.

Tres fonts d’infecció

El CNI adverteix que les tres fonts principals d’infeccions de ransomware són les següents:

1.Phising per correu electrònic mitjançant un enllaç web: Avui dia molts usuaris en tenen coneixement que reben correus electrònics que tenen intencions contra ell sota aparença d’empreses o serveis coneguts. Els més utilitzats són els de suposades factures o bancs que et demanen que entris a la seva pàgina fent clic a un enllaç del correu. En realitat, però, la pàgina no és l’oficial i s’infiltra en l’equip contingut nociu. També existeix la possibilitat que el mateix usuari introdueixi les seves dades en un entorn fals, enviant informació de vital importància a tercers.

2.Phising per correu electrònic mitjançant un arxiu adjunt: Molt semblant a l’anterior cas però fent servir arxius enviats per correu. Encara que mostrin un format que d’entrada no sembla perillós (com un *.pdf) no s’han d’obrir pel gran risc de ser infectat. Només fer-ho per part de contactes coneguts i, sobretot, que el contingut del missatge no sigui estrany. Rebre, per exemple, un mail del teu fill en anglès demanant que et descarreguis un arxiu segurament serà realment enviat per un virus. Formats com *.exe (propi del programari de Windows) mai s’ha d’obrir si és per via mail.

3.Navegació web: una de les fonts més importants per tenir en compte. El ransomware, com també altres virus, poden infectar fins i tot pàgines que no tenen cap intenció contra l’usuari. Per tal d’evitar l’entrada d’elements maliciosos no s’ha de freqüentar pàgines de descàrrega il·legal i pornogràfiques. L’actualització del Flash Player, Java i Silverlight redueix en gran mesura les possibles vulnerabilitats del navegador.

5 maneres per prevenir el ransomware

Les següents mesures de seguretat són molt importants per evitar la probabilitat d’infecció.

1.Còpies de seguretat: Si en el seu ordinador té emmagatzemada informació de la qual considera important, haurà de realitzar periòdicament còpies a unitats externes (discs durs, per exemple) o a serveis en línia (Onedrive, Drive, etc…) per tal d’evitar el segrest.

2.Actualització del sistema operatiu: sigui sota un entorn de Microsoft o d’Apple, és molt important mantenir el sistema operatiu important. Encara que semblen innecessàries, periòdicament es resolen vulnerabilitats del sistema per tal d’evitar infeccions com la de Telefónica. L’atac no hagués tingut tant d’èxit davant d’ordinadors actualitzats.

3.Antivirus, tallafoc i antispam: la presència d’un programa de seguretat com n’és un antivirus estalvia molts maldecaps als usuaris. La seva funció és la de detenir l’entrada en funcionament de codi maliciós i la d’acabar amb infeccions. Per últim, avui dia hi ha serveis, com el de Gmail de Google, que ja venen integrat un filtre per no rebre correus electrònics no desitjats.

4.No fer servir amb freqüència usuaris amb els privilegis d’administrador. Sempre és millor tenir-ne dos usuaris (o més si cal) però només fer servir el que no tingui privilegis. D’aquesta manera el ransomware tindrà un impacte potencial molt menor.

5.En el cas de les empreses, mantenir bloquejat els ports de comunicació 445 i 139 de la xarxa. Una altra opció per a les grans organitzacions és la virtualització del sistema operatiu. L’execució d’un sistema dintre d’un altre (anomenat virtual) és una gran manera de treballar en un entorn segur. Virus, com el Ransom.WannaCry, si detecta que es troba sota un ambient virtual no s’activa.

Ransomware

Ransomware que actua com si la NSA multés a l’usuari per fer servir programari il·legal. Font: hyphenet.com

 

Nota: l’explicació tècnica del funcionament del ransomware es troba en aquest informe del CERT CNI. Si el seu equip ha sigut infectat, segueixi els passos de la pàgina 8 d’aquest altre document sense classificar.

Tweet about this on TwitterShare on Google+0Share on Facebook31Share on LinkedIn3Email this to someonePrint this page

Francesc García Mestres

Estudiant d'Administració i Direcció d'Empreses a la Universitat de Barcelona. Enamorat de la geopolítica, defensa, seguretat, història... i de les 24H de Le Mans. Cap d'Scouts d'Europa a Barcelona. "Qui recordi la història que li treguin un ull. Però pobre de qui la oblidi, perquè perdrà els dos" - Aleksandr Soljenitsin. Twitter: @fgmestres

No hi ha comentaris

Sigues el primer en deixar un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *

Ús de cookies

Aquest lloc web utilitza cookies perquè vostè tingui la millor experiència d'usuari. Si continua navegant està donant el seu consentiment per a l'acceptació de les esmentades cookies i l'acceptació de la nostra política de cookies, punxi l'enllaç per a major informació.ACEPTAR

Aviso de cookies