Cómo responder a una infección de ransomware
Artículos técnicos ID:
KB89805
Última modificación: 2022-07-12 20:22:43 Etc/GMT
Entorno
Prevención de amenazas 10.x Endpoint Security (ENS)
Host Intrusion Prevention (host IPS) 8.0
VirusScan Enterprise (VSE) 8.8
Resumen
Este artículo proporciona orientación general a los primeros respondedores durante un brote de ransomware.
Ransomware es malware que emplea el cifrado asimétrico para almacenar la información de una víctima en Ransom. El cifrado asimétrico (público-privado) es una criptografía que utiliza un par de claves para cifrar y descifrar un archivo. El atacante genera de forma exclusiva un par de claves pública-privada para la víctima, con la clave privada para descifrar los archivos almacenados en el servidor del atacante. El usuario comprometido tiene que pagar un Ransom para obtener las claves privadas a fin de descifrar los archivos.
Actualmente, existen muchas diferencias de ransomware. Normalmente, ransomware y otros malware se distribuyen mediante campañas de spam, correos electrónicos de phishing o ataques dirigidos. Nuestros productos de seguridad utilizan varias tecnologías que ayudan a evitar ransomware.
Lleve a cabo los pasos siguientes para responder a un brote de ransomware en su entorno:
- Identificar y aislar los sistemas afectados.
El aislamiento de los sistemas afectados ayuda a evitar la propagación de la amenaza. No todas las amenazas o variantes de ransomware muestran este comportamiento. Para obtener más información, consulte KB81336-cómo crear un informe de origen de amenaza para VirusScan Enterprise en EPolicy Orchestrator.
- Aplique actualizaciones para las vulnerabilidades y asegure la conformidad con el entorno:
- Aplique cualquier actualización del proveedor o del sistema operativo en todos los sistemas. Esta acción es crítica para mitigar la vulnerabilidad que aprovecha el malware. Al dejar incluso un sistema no actualizado, se muestra un agujero en su entorno que el malware puede aprovechar.
- Asegúrese de que el entorno sea conforme según la Directiva de seguridad existente. No todas las variantes de ransomware exploit vulnerabilidades de la aplicación o del sistema operativo.
- Aplique reglas de ENS/host IPS/VSE relacionadas a los sistemas online para todo el comportamiento de ransomware conocido. Consulte los artículos relacionados para obtener detalles:
- Confirme que se han aplicado las recomendaciones recomendadas. Consulte los artículos relacionados para obtener detalles:
- Aplique, pruebe y despliegue el extra .DAT relacionado (si está disponible).
Un extra .DAT es un archivo de detección temporal que se proporciona para detectar y eliminar amenazas. Se trata de un archivo que aún no se ha agregado a los archivos DAT normales. Si McAfee Labs proporcionado un archivo extra. DAT, la práctica recomendada es aplicarlo y probarlo localmente en un sistema infectado. Una vez que haya probado correctamente el archivo extra. DAT, aplíquelo para ejecutar un análisis bajo demanda completo del sistema (ODS).
- Ejecute un ODS completo en todos los sistemas.
- Confirme el control del entorno.
Compruebe la existencia de amenazas detectadas en las últimas 24 horas. Para obtener más información, consulte los artículos relacionados:
- Vuelva a colocar los sistemas aislados en línea una vez que se hayan confirmado limpios.
Una vez que los sistemas aislados se hayan confirmado limpios, le recomendamos que los vuelva a poner online en grupos pequeños y monitor su comportamiento más adelante.
- Restaurar los archivos afectados a partir de una copia de seguridad.
Cuando todos los sistemas estén limpios y en la red, restaure los archivos de aplicación afectados a partir de un origen de copia de seguridad correcto o Windows volumen de la instantánea.
- Realice las respuestas de incidentes y las medidas proactivas.
El bloqueo de los tipos de archivo en el Gateway es la mejor línea de defensa más sencilla (véase los tipos de archivo indicados a continuación). Ransomware, downloaders y JS/Nemucod se enmascaran entre ellos. Por lo general, los descargadores llegan a los correos electrónicos de spam o phishing como DOC o XLS, y con menos frecuencia que JS. JS/Nemucod llega a los correos electrónicos de spam o phishing como J. ransomware llega como JS, EXE, TMP, SCR y WSF. La mayoría de los instaladores eliminan un archivo EXE en el directorio del perfil de usuario. Es más fácil protegerse de ransomware si también protege frente a sus instaladores y portadores.
En el caso de los descargadores y Nemucod (troyano), cree reglas de Firewall para evitar que Microsoft Word, Microsoft Excel, scripts y PowerShell realicen llamadas salientes. También debe crear listas de permitidos apropiadas basadas en el tráfico legítimo generado por estas aplicaciones.
Por ejemplo, si una organización utiliza Office 365, consulte la Microsoft documentar para los URL de office 365 y los intervalos de direcciones IP. Los endpoints incluyen nombres de dominio completos, puertos, URL, intervalos de direcciones IPv4 e intervalos de direcciones IPv6 para incluirlos en las listas de permitidos salientes. Estos endpoints se aseguran de que sus equipos puedan utilizar Office 365 correctamente.
También se recomienda bloquear los archivos de almacenamiento, si no se trata de directivas de la empresa. Algunos ejemplos de archivos de almacenamiento son ZIP, RAR, TAR y JAR.
- Considere la posibilidad de implementar más recomendaciones:
- Implementar conocimiento y aprendizaje de seguridad:
- Simule una campaña de phishing/spam para llevar a cabo el conocimiento de seguridad a los usuarios que se hallen afectados por ataques de ingeniería social.
- Recuerde a sus usuarios que piensen dos veces antes de hacer clic en cualquier vínculo enviado por correo electrónico.
- Indique a los usuarios que no abran datos adjuntos de archivos desconocidos o no solicitados a menos que lo solicite el remitente. Vea el encabezado del correo electrónico o envíe un mensaje de correo electrónico distinto para validar el remitente antes de abrir los datos adjuntos.
- Informe de correo electrónico sospechoso al centro de operaciones de seguridad de la organización. Recuerde a los usuarios cómo y dónde enviar correo electrónico sospechoso de forma segura.
- Desactive las macros en Microsoft Office aplicaciones. Las macros se pueden ejecutar en aplicaciones de Office si se realiza alguna de las acciones a continuación:
- Seleccione la opción Seleccionar todas las macros en configuración de macro.
- Seleccionar manualmente una macro.
Nota: Las macros están desactivadas de forma predeterminada. Le recomendamos que seleccione la opción desactivar todas las macros con notificación en configuración de macros.
- Los usuarios deben hacer copia de seguridad de los datos empresariales en las carpetas compartidas de la organización. Los datos que residen en dispositivos de usuario pueden perderse de forma permanente durante una infección de ransomware.
- Bloque .EXE , .RAR.SCR ,, .CAB.WSF.VBS.BAT.JS ,,,, y datos adjuntos similares en mail and Web Gateway.
- Evitar que PowerShell se ejecute en sistemas en los que PowerShell no está pensado para ejecutarse.
- Asegúrese de que no hay directivas de lista de permisos que excluyan .doc , .docx , .xls.xlsx , o .JS datos adjuntos de análisis antispam o antivirus.
- Instale el complemento del navegador de SiteAdvisor Enterprise para detectar spam datos adjuntos y bloquear el acceso a dominios maliciosos.
- Utilice productos de correo y Web Gateway que identifiquen vínculos maliciosos y bloqueen correos electrónicos con vínculos o datos adjuntos.
- Active el filtrado de spam.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|