Actualización de Windows desde ransomware. Protección contra ransomware mediante FSRM en Windows Server. Epidemia de cifrado WannaCry: qué hacer para evitar la infección. Guía paso por paso
Este otoño, Windows 10 se actualizó a la versión 1709, con nombre en código Creadores de otoño Actualización o Redstone 3. Entre los muchos cambios, lo que más nos interesaba era mejorar la protección contra malware desconocido. Microsoft ha tomado una serie de medidas para contrarrestar los troyanos y exploits ransomware. ¿Qué tan exitosos fueron?
Viejo nuevo defensor
Todo lo nuevo es antiguo y bien renombrado. En la "actualización de otoño para diseñadores", los componentes de protección integrados se combinaron en el "Centro de seguridad de Windows Defender". Incluso el software de firewall comenzó a llamarse "Windows Defender Firewall", pero estos cambios son puramente cosméticos. Los más importantes se refieren a las nuevas funciones, que veremos con más detalle a continuación.
Otro componente antiguo-nuevo introducido en Redstone 3 se llama Exploit Protection. Windows Defender Exploit Guard, o simplemente EG, se habilita a través del Centro de seguridad de Windows Defender en la sección Control de aplicaciones y navegador.
Técnicamente, Exploit Guard es el antiguo kit de herramientas de experiencia de mitigación mejorada con un conjunto de funciones ligeramente mayor y una nueva interfaz. EMET apareció en el pasado Windows Vista, ahora se suspendió su soporte y Exploit Guard tomó su lugar. Pertenece a Advanced Threat Protection, junto con Device Guard Connected Device Manager y Application Guard. Las malas lenguas dicen que Microsoft inicialmente quería introducir un componente común, Advanced System Security Guard, pero la abreviatura resultó completamente disonante.
Protección contra exploits
Exploit Guard es sólo una herramienta de reducción de riesgos; no elimina la necesidad de cerrar vulnerabilidades en el software, pero las hace más difíciles de usar. En general, el principio operativo de Exploit Guard es prohibir aquellas operaciones que el malware utiliza con mayor frecuencia.
El problema es que muchos programas legítimos también los utilizan. Además, existen programas antiguos (o mejor dicho, bibliotecas dinámicas) que simplemente dejarán de funcionar si se habilitan nuevas funciones de control de memoria y otras medidas de protección modernas en Windows.
Por lo tanto, configurar Exploit Guard es lo mismo que usar EMET anteriormente. En mi memoria, muchos administradores pasaron meses profundizando en las complejidades de la configuración y luego simplemente dejaron de usar funciones restrictivas debido a numerosas quejas de los usuarios.
Si la seguridad es lo primero y necesita apretar los tornillos, entonces las características más populares de Exploit Guard fueron (desde los días de EMET) y siguen siendo:
- DEP(Prevención de ejecución de datos): prevención de la ejecución de datos. No permite la ejecución de un fragmento de código que termine en un área de la memoria no destinada a este fin (por ejemplo, como resultado de un error de desbordamiento de pila);
- reasignación aleatoria de memoria- previene ataques a direcciones conocidas;
- deshabilitar puntos de expansión- evita la inyección de archivos DLL en procesos en ejecución (consulte sobre cómo omitir UAC, donde este método se usó ampliamente);
- equipo DisallowChildProcessCreation- prohíbe que la aplicación especificada cree procesos secundarios;
- filtrado de tablas de direcciones de importación (IAF) y tablas de direcciones de exportación (EAF)- evita que un proceso (malicioso) aplique fuerza bruta a las tablas de direcciones y acceda a la página de memoria de las bibliotecas del sistema;
- Verificación de llamadas- comprueba los derechos para llamar a API confidenciales;
- SimExec- simulación de ejecución. Comprueba antes de la ejecución real del código a quién devolverán las llamadas API confidenciales.
Los comandos se pueden pasar a través de PowerShell. Por ejemplo, una prohibición de crear procesos secundarios se ve así:
Set-ProcessMitigation -Nombre ejecutable.exe -Habilitar DisallowChildProcessCreation
Todos los procesadores y conjuntos de chips x86 de los últimos diez años admiten DEP a nivel de hardware y, para los más antiguos, está disponible una implementación de software de esta función. Sin embargo, en aras de la compatibilidad de las nuevas versiones de Windows con el software anterior, Microsoft aún recomienda habilitar DEP en el modo "solo procesos del sistema". Por el mismo motivo, era posible desactivar DEP para cualquier proceso. Todo esto se ha utilizado con éxito en técnicas de derivación de DEP.
Por lo tanto, tiene sentido utilizar Exploit Guard sólo si es posible utilizar varias funciones de protección a la vez sin causar al menos un fallo en el funcionamiento de las aplicaciones principales. En la práctica esto rara vez es posible. A continuación se muestra un ejemplo de un perfil EG convertido de EMET, que generalmente hace que Windows 10 falle en BSoD. Érase una vez, Hacker tenía una sección de "Construcción occidental" y Exploit Guard habría encajado perfectamente en ella.
La continuación está disponible solo para suscriptores.
Opción 1. Suscríbete a Hacker para leer todos los materiales del sitio.
La suscripción le permitirá leer TODOS los materiales pagos en el sitio dentro del período especificado. Aceptamos pago tarjetas bancarias, dinero electrónico y transferencias desde cuentas de operadores móviles.
El 12 de mayo alrededor de las 13:00 horas el virus comenzó a propagarse. Descifrador Wana. En casi un par de horas, decenas de miles de ordenadores en todo el mundo quedaron infectados. En actualmente Se han confirmado más de 45.000 ordenadores infectados.
Con más de 40 mil hackeos en 74 países, los internautas de todo el mundo fueron testigos del mayor ciberataque de la historia. La lista de víctimas incluye no sólo la gente común, pero también servidores de bancos, empresas de telecomunicaciones e incluso organismos encargados de hacer cumplir la ley.
Quiero infección virus del llanto Las computadoras tanto de usuarios comunes como de trabajo de varias organizaciones, incluido el Ministerio del Interior de Rusia, quedaron expuestas al cifrado. Desafortunadamente, pero este momento No hay forma de descifrar archivos WNCRY, pero puedes intentar recuperar archivos cifrados utilizando programas como ShadowExplorer y PhotoRec.
Parches oficiales de Microsoft para protegerse contra quiero virus Llorar:
- Windows 7 de 32 bits/x64
- Windows 10 de 32 bits/x64
- Windows XP 32 bit/x64: sin parche de WCry.
Cómo protegerse del virus Wanna Cry
Puedes protegerte del virus Wanna Cry descargando un parche para tu versión de Windows.
Cómo se propaga Wanna Cry
Wanna Cry se distribuye:
- a través de archivos
- mensajes de correo.
Según informan los medios rusos, el trabajo de los departamentos del Ministerio del Interior en varias regiones de Rusia se ha visto interrumpido debido a un ransomware que ha infectado muchos ordenadores y amenaza con destruir todos los datos. Además, el operador de comunicaciones Megafon fue atacado.
Estamos hablando del troyano ransomware WCry (WannaCry o WannaCryptor). Cifra la información en la computadora y exige un rescate de $300 o $600 en Bitcoin para descifrarla.
También en foros y en las redes sociales Los usuarios comunes reportan infecciones:
Epidemia de cifrado WannaCry: qué hacer para evitar la infección. Guía paso por paso
La tarde del 12 de mayo fue descubierto. ataque a gran escala WannaCryptor (WannaCry) ransomware, que cifra todos los datos en PC y portátiles con sistema operativo Windows. El programa exige 300 dólares en bitcoins (unos 17.000 rublos) como rescate por el descifrado.
El golpe principal cayó sobre usuarios rusos y empresas. En este momento WannaCry logró afectar a unos 57.000 ordenadores, incluidos redes corporativas Ministerio del Interior, Ferrocarriles Rusos y Megafon. Sberbank y el Ministerio de Salud también informaron sobre ataques a sus sistemas.
Te contamos lo que debes hacer ahora mismo para evitar contagios.
1. El cifrador explota una vulnerabilidad de Microsoft con fecha de marzo de 2017. Para minimizar la amenaza, debes actualizar urgentemente tu versión de Windows:
Inicio - Todos los programas - Windows Update - Buscar actualizaciones - Descargar e instalar
2. Incluso si el sistema no se actualizó y WannaCry entró en la computadora, las soluciones corporativas y domésticas ESET NOD32 detectan y bloquean con éxito todas sus modificaciones.
5. Para detectar más amenazas desconocidas Nuestros productos utilizan tecnologías conductuales y heurísticas. Si un virus se comporta como un virus, lo más probable es que sea un virus. Entonces, sistema de nube ESET LiveGrid repelió con éxito el ataque desde el 12 de mayo, incluso antes de que se actualizaran las bases de datos de firmas.
¿Cuál es el nombre correcto del virus Wana Decryptor, WanaCrypt0r, Wanna Cry o Wana Decrypt0r?
Desde que se descubrió el virus por primera vez, muchos diferentes mensajes sobre este virus ransomware y a menudo se llama diferentes nombres. Esto sucedió por varias razones. Antes de que apareciera el virus Wana Decrypt0r, existía su primera versión Quiero descifrar0r, siendo la principal diferencia el método de distribución. Esta primera opción no fue tan conocida como la suya. hermano menor, pero gracias a esto, en algunas noticias, nuevo virus El criptógrafo lleva el nombre de su hermano mayor, Wanna Cry, Wanna Decryptor.
Pero aún así el nombre principal es Wana Decrypt0r, aunque la mayoría de usuarios en lugar del número “0” teclean la letra “o”, lo que nos lleva al nombre Descifrador Wana o WanaDecryptor.
Y el apellido con el que los usuarios suelen llamar a este virus ransomware es virus WNCRY, es decir, por la extensión que se añade al nombre de los archivos que se han cifrado.
Para minimizar el riesgo de que el virus Wanna Cru llegue a su computadora, los especialistas de Kaspersky Lab recomiendan instalar todas las actualizaciones posibles en la versión actual de Windows. El hecho es que el malware infecta sólo aquellos ordenadores que ejecutan este software.
Virus Wanna Cry: cómo se propaga
Anteriormente, mencionamos este método de propagación de virus en un artículo sobre comportamiento seguro en Internet, así que nada nuevo.
Wanna Cry se distribuye de la siguiente manera: En Buzón El usuario recibe una carta con un archivo adjunto "inofensivo": podría ser una imagen, un vídeo, una canción, pero en su lugar extensión estándar para estos formatos, el archivo adjunto tendrá una extensión de archivo ejecutable: exe. Cuando se abre y ejecuta un archivo de este tipo, el sistema se “infecta” y, a través de una vulnerabilidad, se carga directamente un virus en el sistema operativo Windows, cifrando los datos del usuario, informa therussiantimes.com.
Virus Wanna Cry: descripción del virus
Wanna Cry (la gente común ya lo ha apodado región Wona) pertenece a la categoría de virus ransomware (criptadores) que, cuando ingresa a una PC, cifra Archivos de usuario con un algoritmo criptorresistente, la lectura posterior de estos archivos se vuelve imposible.
Por el momento, se sabe que las siguientes extensiones de archivos populares están sujetas al cifrado Wanna Cry:
Popular archivos de microsoft Office (.xlsx, transmitido por therussiantimes.com.xls, .docx, .doc).
Archivos de almacenamiento y multimedia (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).
WannaCry es un programa llamado WanaCrypt0r 2.0, que ataca exclusivamente a PC con sistema operativo Windows. El programa explota un "agujero" en el sistema. Seguridad de Microsoft Boletín MS17-010, cuya existencia se desconocía anteriormente. El programa requiere un rescate de $300 a $600 para descifrarlo. Por cierto, actualmente las cuentas de los piratas informáticos, según de acuerdo con la Guardian, ya se han recibido más de 42 mil dólares.
Una ola de un nuevo virus de cifrado, WannaCry (otros nombres, Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), se ha extendido por todo el mundo, que cifra documentos en una computadora y extorsiona entre 300 y 600 dólares por decodificarlos. ¿Cómo puedes saber si tu computadora está infectada? ¿Qué debes hacer para evitar convertirte en víctima? ¿Y qué hacer para recuperarme?
Después de instalar las actualizaciones, deberá reiniciar su computadora.
¿Cómo recuperarse del virus ransomware Wana Decrypt0r?
Cuando utilidad antivirus, detecta un virus, lo eliminará inmediatamente o le preguntará si debe tratarlo o no. La respuesta es tratar.
¿Cómo recuperar archivos cifrados con Wana Decryptor?
No podemos decir nada tranquilizador por el momento. Aún no se ha creado ninguna herramienta de descifrado de archivos. Por ahora, todo lo que queda es esperar hasta que se desarrolle el descifrador.
Según Brian Krebs, experto en la seguridad informática Por el momento, los delincuentes han recibido sólo 26.000 dólares, es decir, sólo unas 58 personas aceptaron pagar el rescate a los extorsionadores. Nadie sabe si restauraron sus documentos.
¿Cómo detener la propagación de un virus en línea?
En el caso de WannaCry, la solución al problema puede ser bloquear el puerto 445 en el Firewall ( cortafuegos), a través del cual se produce la infección.
El 12 de abril de 2017 apareció información sobre la rápida propagación por todo el mundo de un virus de cifrado llamado WannaCry, que puede traducirse como "Quiero llorar". Los usuarios tienen preguntas sobre Actualizacion de Windows del virus WannaCry.
El virus en la pantalla de la computadora se ve así:
El malo virus WannaCry que lo cifra todo
El virus cifra todos los archivos de la computadora y exige un rescate en una billetera Bitcoin por un monto de $300 o $600 para supuestamente descifrar la computadora. Se infectaron ordenadores en 150 países de todo el mundo, siendo Rusia el más afectado.
Megafon, Ferrocarriles Rusos, el Ministerio del Interior, el Ministerio de Salud y otras empresas se enfrentan de cerca a este virus. Entre las víctimas se encuentran usuarios comunes Internet.
Casi todos somos iguales ante el virus. La diferencia, quizás, es que en las empresas el virus se propaga por todas partes red local dentro de la organización e infecta instantáneamente tanto como sea posible cantidad posible ordenadores.
El virus WannaCry cifra archivos en computadoras que usan Windows. EN microsoft En marzo de 2017, se lanzaron las actualizaciones MS17-010 para diferentes versiones Windows XP, Vista, 7, 8, 10.
Resulta que aquellos que están decididos Actualización automática Windows no corre riesgo de contraer el virus porque recibió la actualización de manera oportuna y pudo evitarlo. No pretendo decir que este sea realmente el caso.
Arroz. 3. Mensaje al instalar la actualización KB4012212
La actualización KB4012212 requirió reiniciar la computadora portátil después de la instalación, lo cual no me gustó mucho, porque no se sabe cómo podría terminar esto, pero ¿a dónde debería ir el usuario? Sin embargo, el reinicio salió bien. Así que vivimos en paz hasta el próximo. ataque de virus, y que tales ataques ocurrirán, por desgracia, no hay duda.
Algunos virus ganan, otros vuelven a aparecer. Esta lucha obviamente será interminable.
Video “Quiero llorar”: el virus ransomware infectó 75 mil sistemas en 99 países
Reciba artículos actuales por alfabetización informática directo a tu bandeja de entrada.
Ya mas 3.000 suscriptores