Header Ads

Ransomware

Hace poco la empresa Dr web divulgó que un nuevo ramsomware para Linux, algo que hasta la fecha muchos consideraban poco probable, ya que su blanco de ataque preferido son los sistemas tradicionales.
Como bien se describe en los portales Hackers News y segu-info, este malware, de nombre  Linux.Encoder.1, es un nuevo tipo de ransomware que tiene a los sitios web desarrollados en tecnologías LAMP (Linux, Apache, MySQL y PHP) como objetivo.
El malware cifra la página de inicio y las carpetas asociadas y luego pide un rescate de 1 Bitcoin (~ U$S 300) para descifrar los archivos.
Específicamente busca extensiones, tales como .js, .css, .properties, .xml, .ruby, .php, .html, .gz, .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, y .jpg y les añade la extensión .encrypt a cada archivo cifra y deja el mensaje de texto de rescate en cada carpeta, sin embargo es muy probable que esperemos nuevas variantes de este ramsomware que comprometan cualquier otra extensión.
Algunos son  Ransom.BlockLocker (este último,  su autor publicó las llaves de descifrado y pidió perdón por los daños causados),  SimplelockerCryptoWallTrojan.Cryptolocker.S (variante de  Cryptolocker), etc
Otras variantes de estos  RansomWare afectan a más extensiones ( más de 160 confirmadas).
Protección con Adblockers
Puede utilizar una solución de tipo adblocker, tales como  uBlock Origin o AdBlock Plus. Puede encontrar una comparativa de ambos productos AQUI
Protección en Windows
En sistemas Windows se recomienda el uso de utilidades como  Anti-RansomWareEset Online ScannerTrend Micro AntiRansomware ToolNorton RamsomwareHitmanProLocker Unlocker decryption tool, Herramienta Sophos, AntiCryptoWall, Kaspersky Ramsomware Decryptor,   Bit Defender Cryptowall Vaccine, Malwarebytes Anti-Ransomware, o visitar el sitio de  herramientas de Kaspersky que tiene varias utilidades para combatir este tipo malware, entre otras soluciones.
Y por último seguir las indicaciones de WeLiveSecurity
Bloqueo de extensiones ransomware en Squid (Linux)
Nota: Para los amantes de Windows Server, recomendamos la lectura de  Cómo evitar que un ransomware cifre los archivos en Windows (I y II)
Si tenemos un proxy no-transparente, y derivamos todo el tráfico por  squid-cache, podemos utilizar dos maneras de utilizar reglas para bloquear extensiones maliciosas: las  MIME y URL_REGEX. Por ejemplo:
# extensiones restringidas
acl blackext url_regex -i "/etc/acl/blackext.txt"
acl blackmime rep_mime_type -i "/etc/acl/blackmime.txt"
http_access deny blackext
http_reply_access deny blackmime
En el caso anterior crearemos dos acls. Una para mime_type y otra url_regex, que, a modo de ejemplo, hemos llamado blackmime y blackext respectivamente. Estas ACLs puede encontrarlas en nuestro proyecto  Gateproxy.
En la primera ponemos un contenido similar al siguiente ejemplo:
^application/exe$
^application/ogg$
En la segunda tendría un contenido similar a:
\.avi$
\.mp4$
Y de dónde sacamos las extensiones ransomware?
Consultando este  spreadsheets, que es uno de los más completos y actualizados (no olviden agradecer a sus creadores). Incluso puede  descargarlo en formato xls y ods y crear un script para extraer las extensiones. Una vez las tengamos, para el caso de mime_type, consultamos las fuentes  IANAApacheGithubFreeformatter, etc, para colocar el que corresponda según la extensión a bloquear. Y si no existe (que es lo más probable), podemos usar el mime general para casos no asignados
^application/octet-stream$
Y para url_regex simplemente colocamos la extensión a bloquear. Por ejemplo:
\.0x0([a-zA-Z][0-9]*)?(\?.*)?$
\.1999([a-zA-Z][0-9]*)?(\?.*)?$
\.AES256([a-zA-Z][0-9]*)?(\?.*)?$
\.aaa([a-zA-Z][0-9]*)?(\?.*)?$
# etc, etc
El regex  ([a-zA-Z][0-9]*)?(\?.*)?$ se le agrega a la extensión para no dejar por fuera las variantes y otras maneras de descargarlo (con el caracter  ?). Por ejemplo, el ransomware  cryptolocker tiene muchas extensiones (.crypt, .cryp1, .crypz, .crypto, .cryptotorlocker, .CryptoTorLocker2015!, etc). Podríamos utilizar:
\.cryp([a-zA-Z][0-9]*)?(\?.*)?$
Naturalmente, esta "protección" solo es válida para http, y a no ser que usemos  SSLBump si el ransomware viene por https, es muy poco lo que podrá hacer squid, ya que no hace este tipo de filtrado en conexiones seguras. En este caso tendríamos que utilizar reglas de firewall iptables por string para poder bloquearlas.
Con la tecnología de Blogger.