¿Cómo llega el ransomware a las computadoras de las personas?

Navega tus respuestas
123

He notado una mayor frecuencia de preguntas de ransomware alrededor de Stack Exchange. Algunas de las personas que conozco remotamente también se han infectado recientemente de sus dispositivos.

Estoy empezando a preocuparme. Cuando las personas me preguntan cómo evitar los virus, generalmente les digo cosas como no descargar archivos de sitios web sospechosos y archivos adjuntos que no sean documentos. Pero, ¿es realmente correcto de mi parte suponer que las personas que se infectan ejecutan archivos sospechosos en su computadora?

Esta preocupación aumenta especialmente ahora cuando veo preguntas de personas que se infectaron aquí en Stack Exchange, lo que significa que las personas técnicamente conscientes son obviamente tan vulnerables.

¿Cómo es posible que el ransomware entre en sus computadoras? ¿Cuál es una buena manera de evitar que esto suceda?

    
pregunta Tomáš Zato 13.04.2016 - 10:43
fuente

4 respuestas

73

De acuerdo con el Informe Trimestral de Inteligencia de Amenazas X-Force de IBM, cuarto trimestre de 2015, las fuentes principales de ataques de ransomware son vulnerabilidades sin parches, infecciones de paso y correos electrónicos de phishing:

Fuente: IBM X-Force

Cómo prevenir ataques de ransomware

Educación del usuario

Eduque a sus usuarios a no descargar archivos de contactos desconocidos. Por lo general, el ransomware se envía en correos electrónicos que reclaman facturas pendientes con documentos de Word. Cuando abra el documento, se instalará el ransomware y comenzará a hacer su trabajo.

Escaneando y filtrando servidores de correo

Escanee sus servidores de correo para detener los intentos de phishing que llegan a los destinatarios previstos.

Copia de seguridad de datos con regularidad

Asegúrese de hacer una copia de seguridad de sus datos críticos con regularidad y de protegerlos. Esto le ayudará a evitar pagar el rescate y reducirá el tiempo de recuperación.

¿Vulnerabilidad? Actualice el software crítico y el sistema operativo de inmediato

Parche su software crítico como su navegador, complementos de navegador, clientes de correo electrónico y sistemas operativos justo después de recibir una notificación. ¿Sabía que la filtración de Panama Papers (2.6 TB de datos) ocurrió porque de servidores web vulnerables y servidores de correo ?

Observe el crecimiento del ransomware en los últimos tres años:

Fuente: McAfee Labs, 2015.

    
respondido por el tekybala 13.04.2016 - 12:46
fuente
45

Si bien las medidas que describe en su pregunta no son incorrectas, tampoco son correctas:

  • Los documentos tampoco son seguros para abrir.

    • Muchas veces, los exploits vienen en forma de interestingFile.txt.exe .

      Windows que oculta .exe de forma predeterminada lleva a los usuarios a pensar que es solo un archivo de texto cuando efectivamente ejecutan el código.

      Hay otras formas de evitar que el usuario también reconozca el código ejecutable como tal. Por ejemplo, utilizando Unicode y la marca de derecha a izquierda también, como PlasmaHH se sugiere en los comentarios.

    • Existe una variedad de malware para macros para los productos de Office.

  • Explosiones de drive-by

    Esas son una amenaza real para todos, ya que no solo utilizan 2-3 sitios web y todos siguen ciegamente los enlaces.

    Esto es especialmente cierto ya que hay (¿muchos?) exploits de día cero que son desconocidos para el público y, por lo tanto, aún no están arreglados. Incluso hay eventos como pwn2own , que muestran esas explotaciones en vivo: ir a un sitio web preparado, que puede ser.

De hecho, como Philipp señala correctamente en los comentarios, las infecciones pueden ocurrir en cualquier sitio web básicamente, eso incluye contenido de otra parte, por ejemplo, anuncios.

La otra parte de tu pregunta tiende a ser

  

¿Por qué hay tanto ransomware ahora y no hubo tantas infecciones antes?

Bueno, porque el ransomware tiende a ser más rentable que el uso de infecciones para establecer una red bot, que generalmente pasaba inadvertido para la mayoría de los usuarios (ya que ese era el punto).

Por lo tanto, no ha habido un aumento real en las infecciones, solo un aumento en la visibilidad de las infecciones.

Para abordar la pregunta del sistema operativo de los comentarios

Windows suele ser, ya que tiene la mayor cuota de mercado, el objetivo más frecuente (por todo el malware), pero el ransomware también existe para los sabores * NIX. Esto incluye Mac OS X y Linux.

Mac OS X siendo explotado por drive-by se ha mostrado en este año Pwn2Own si no me equivoco.

    
respondido por el Tobi Nary 13.04.2016 - 10:54
fuente
11

¿Está a salvo del ransomware simplemente por no descargar archivos sospechosos?

Desafortunadamente, es un error suponer que estás a salvo del ransomware simplemente por no descargar archivos de sitios web sospechosos.

A modo de ejemplo, el mes pasado, la versión OS X del popular cliente BitTorrent Transmisión (v2.90) era infectado con ransomware. Esta versión infectada de Transmission se distribuyó a través del sitio web oficial de Transmission (su servidor principal se vio comprometido) durante un día o dos, por lo que cualquiera que lo haya descargado se infectará. Sorprendentemente, el intento de actualizar dentro de la aplicación (Transmission usa el marco Sparkle ) hubiera sido seguro, ya que los atacantes aparentemente no se actualizaron la suma de comprobación para Sparkle en la versión comprometida, causando que la actualización (potencialmente automática) en la aplicación falle con una falta de coincidencia de firma.

Lamentablemente, este ransomware casi me atrapó. Debido a una vulnerabilidad en el marco de Sparkle que se reveló recientemente en el momento, estaba actualizando manualmente todas mis aplicaciones que usaban el marco de Sparkle en lugar de actualizarlas en la aplicación, y eso incluía la actualización a Transmission v2.90 al descargarlo manualmente desde el sitio web oficial. Solo logré salir ileso gracias a la descarga unos días antes de que ocurriera el compromiso del servidor. Honestamente, me asusté bastante una vez que me enteré del compromiso unos días después. Diría que aprendí una valiosa lección aquí, que es que nunca nunca confía ciegamente en una aplicación que descargó de Internet, incluso de desarrolladores en los que confía (a menos que usted mismo revise el código fuente) .

Cómo mitigar el daño del ransomware

El problema con el ransomware es que encripta todos tus archivos. Si tiene una manera de evitar que las aplicaciones puedan leer o escribir en cualquier archivo de su sistema (ejecutando todas las aplicaciones descargadas en un recinto de seguridad, por ejemplo), eso esencialmente debería hacer que el ransomware sea benigno. En Windows, puede utilizar aplicaciones de sandbox con Sandboxie . En OS X, puede interceptar todas las lecturas y escrituras de aplicaciones que se ejecutan en su sistema con Hands Off! (demostrado here ).

Otra solución es utilizar Qubes OS , que es un sistema operativo que, esencialmente, le permite realizar diferentes actividades de sandbox. / Aplicaciones dentro de diferentes máquinas virtuales de una manera muy elegante. También admite el uso de Windows 7 dentro de una de esas máquinas virtuales también.

    
respondido por el アリスター 14.04.2016 - 07:26
fuente
10

La forma en que llega a parte de su pregunta ya ha sido bien respondida, así que buscaré algunas formas de protegerse, aunque la única forma de estar realmente seguro es no usar una computadora conectada a Internet, ya que incluso los de abajo no son 100% seguros.

  • No abra ningún documento desde cualquier lugar a menos que haya estado esperando recibirlo, y de esa persona / compañía específica.
  • Si no desea ser tan paranoico, solo abra documentos de fuentes confiables, es decir, personas con las que conozca y con las que se comunique con frecuencia *, o de un sitio web en el que confíe y haya solicitado explícitamente un documento para descargar (o le haya enviado uno). a usted).
  • Cuando navegue por Internet, hágalo en una máquina virtual ^. Tenga una imagen estándar que clone antes de navegar, independientemente de si se trata de sitios web en los que siempre confía. Una vez que haya terminado, elimine el clon para que haya desaparecido cualquier infección que pueda haber detectado y todavía tenga la instalación estándar.
  • Mantén una copia de seguridad de todo lo que quieras para ti. No siempre confíe en los proveedores externos de la nube, ya que es posible que no conserven los documentos durante el tiempo que indican, o incluso que las versiones estén implementadas para retroceder a un punto en el tiempo en el que no estaba infectado.
  • Mantenga su computadora actualizada. Muchos ataques dependerán de las vulnerabilidades en ciertas aplicaciones. Si estos son parcheados, entonces no pueden trabajar a través de ese vector. Si no actualiza su software, deja esos agujeros abiertos.

Probablemente haya muchos más, pero estos son los que vienen a la mente de inmediato.

* Menciono la parte de comunicación frecuente para las personas que conoce, ya que si se infectan, pueden terminar enviando correos electrónicos con archivos adjuntos infectados sin su conocimiento. Si normalmente no recibe un correo electrónico o un archivo adjunto de ellos, no confíe en él.

^ Esto es bastante largo, y no es una opción para mucha gente, o no es deseable por la mayoría

    
respondido por el gabe3886 13.04.2016 - 12:23
fuente

Lea otras preguntas en las etiquetas

¿Por qué alguien confiaría en DuckDuckGo u otros proveedores con una política de privacidad similar? ¿Qué tan seguro está Chrome almacenando una contraseña?