Les amenaces que poden posar en perill les teves dades són canviants i evolucionen segons el moment, a Escuda sempre procurem informar-te de l’actualitat de les amenaces que poden afectar els teus sistemes, en aquesta ocasió t’hem d’informar del perill que representa el creixement del atacs del ransomware CrySIS, a més a més t’expliquem com eliminar i prevenir aquest ransomware.

Crysis és un programa maliciós que segresta les teves dades, demanant un rescat per la seva recuperació. Les seves característiques han anat evolucionant al llarg del temps, adquirint diferents capacitats d’atac i nous mètodes per escampar-se, per exemple pot vulnerar les contrasenyes del protocol per connectar-se remotament a l’escriptori (RDP) o suplantar la identitat dels usuaris. Crysis pot arribar als nostres dispositius en forma d’enllaç, arxiu adjunt maliciós o, també, disfressat com a software fiable. Un cop CrySIS aconsegueix entrar en els nostres sistemes, encripta pràcticament tots els tipus d’arxiu, a més a més abans d’encriptar, CrySIS elimina tot el sistema de restauració de Windows.

La firma d’antivirus Malwarebytes ha detectat que, des del febrer fins a l’abril de 2019, hi ha hagut un augment d’infeccions del 148% arreu del món. El rescat que es demana de mitjana per recuperar les dades és de 6000 dòlars, en alguns casos es valora a partir dels beneficis que té l’empresa que ha estat infectada.

Malwarebytes proposa accions per aturar els efectes del CrySIS i, també, per establir una política de prevenció que eviti riscos innecessaris. Desafortunadament, un cop el software maliciós ha infectat el sistema d’una organització és molt complicat revertir els danys que s’hi han produït. Tot i així, es poden fer algunes accions per ordenar el caos produït per la infecció i aconseguir recuperar alguns dels arxius.

Eliminar els efectes del CrySIS

  1. Malwarebytes pot detectar i eliminar CrySIS en els terminals sense que l’usuari hi hagi d’intervenir. Si es detecta la infecció en menys de 72 hores, es pot fer retrocedir l’atac i recuperar els arxius gràcies a la utilització de la solució Malwarebytes Endpoint Protection and Response.
  1. Algunes de les branques més antigues del CrySIS es poden aturar utilitzant les eines lliures que s’ofereixen la pàgina web de No More Ransom Project
  1. Eliminar el ransomware i altres elements associats
  1. Recupera les dades de les copies de seguretat allotjades al núvol o en servidors externs. Tingues en compte que CrySIS elimina els punts de restauració fent correr la instrucció vssadmin_delete shadows /all/quiet, per tant, si aquests punts de restauració formessin part del vostre pla de còpies de seguretat, també es podrien perdre.
  2. Canvia les contrasenyes, incloent-hi les de l’administrador local i el domini.

 

Consells de protecció

Per prevenir l’entrada de CrySIS en els sistemes de l’organització cal seguir una sèrie de mesures, a més a més cal formar la resta de companys de l’organització perquè facin el mateix.

  1. Analitzar els correus electrònics que tinguin arxius adjunts, incloent aquells que aparenten ser software fiable.
  2. Formar als usuaris perquè puguin detectar campanyes de ransomware, identificar els terminals que puguin estar infectats, determinar quines accions s’han fet en les màquines afectades i, finalment, confirmar si s’han fugat o extret dades.
  3. No deshabilitar el Network Level Authenticacion de Microsoft ja que aquesta eina exigeix un nivell d’autenticació superior, en cas de que no estigui en funcionament cal habilitar-lo.
  4. Canviar el port del protocol per connectar-se remotament a l’escriptori (RDP), fent aquest canvi no trobaran el teu terminal. Per defecte, el servidor escolta al port 3389 tant per TCP com UDP.
  5. Restringir l’accés al RDP d’algunes IP’s específiques o, almenys, limitar-ne el nombre d’usuaris.
  6. Assegurar-se de que els teus sistemes i programes tenen tots els complements de seguretat actualitzats.

Si necessites eliminar el Crysis o informació sobre les solucions d’antivirus de Malwarebytes a Escuda et podem ajudar, pots contactar amb nosaltres omplint aquest formulari o trucant al 931 931 848.