Las amenazas que pueden poner en peligro tus datos son cambiantes y evolucionan según el momento, en Escuda siempre procuramos informarte de la actualidad de las amenazas que pueden afectar tus sistemas, en esta ocasión debemos informarte del peligro que representa el crecimiento de los ataques del ransomware CrySIS, además te contamos como eliminar y prevenir este ransomware.

Crysis es un programa malicioso que secuestra tus datos, pidiendo un rescate por su recuperación. Sus características han ido evolucionando a lo largo del tiempo, adquiriendo diferentes capacidades de ataque y nuevos métodos para esparcirse, por ejemplo puede vulnerar las contraseñas del protocolo para conectarse remotamente al escritorio (RDP) o suplantar la identidad de los usuarios. Crysis puede llegar a nuestros dispositivos en forma de enlace, archivo adjunto malicioso o, también, disfrazado como software fiable. Una vez CrySIS consigue entrar en nuestros sistemas, encripta prácticamente todos los tipos de archivo, además antes de encriptar, CrySIS elimina todo el sistema de restauración de Windows.

La firma de antivirus Malwarebytes ha detectado que, desde febrero hasta abril de 2019, ha habido un aumento de infecciones del 148% en todo el mundo. El rescate que se pide de media para recuperar los datos es de 6000 dólares, en algunos casos se valora a partir de los beneficios que tiene la empresa que ha sido infectada.

Malwarebytes propone acciones para detener los efectos del CrySIS y, también, para establecer una política de prevención que evite riesgos innecesarios. Desafortunadamente, una vez el software malicioso ha infectado el sistema de una organización es muy complicado revertir los daños que se han producido. Sin embargo, se pueden hacer algunas acciones para ordenar el caos producido por la infección y conseguir recuperar algunos de los archivos.

Eliminar los efectos del CrySIS

  1. Malwarebytes puede detectar y eliminar CrySIS en los terminales sin que el usuario deba intervenir. Si se detecta la infección en menos de 72 horas, se puede hacer retroceder el ataque y recuperar los archivos gracias a la utilización de la solución Malwarebytes Endpoint Protection and Response.
  1. Algunas de las ramas más antiguas del CrySIS se pueden detener utilizando las herramientas libres que se ofrecen en la página web de No More Ransom Project.
  1. Eliminar el ransomware y otros elementos asociados.
  1. Recupera los datos de las copias de seguridad alojadas en la nube o en servidores externos. Ten en cuenta que CrySIS elimina los puntos de restauración haciendo correr la instrucción vssadmin_delete shadows /all/quiet, por tanto, si estos puntos de restauración formaran parte de su plan de copias de seguridad, también se podrían perder.
  2. Cambia las contraseñas, incluyendo las del administrador local y el dominio.

 

Consejos de protección

Para prevenir la entrada de CrySIS en los sistemas de la organización hay que seguir una serie de medidas, además hay que formar el resto de compañeros de la organización para que hagan lo mismo.

  1. Analizar los correos electrónicos que tengan archivos adjuntos, incluyendo aquellos que aparentan ser software fiable.
  2. Formar a los usuarios para que puedan detectar campañas de ransomware, identificar los terminales que puedan estar infectados, determinar qué acciones se han hecho en las máquinas afectadas y, finalmente, confirmar si se han fugado o extraído datos.
  3. No deshabilitar el Network Level Authenticacion de Microsoft ya que esta herramienta exige un nivel de autenticación superior, hay que habilitarlo en caso de que no esté en funcionamiento.
  4. Cambiar el puerto del protocolo para conectarse remotamente al escritorio (RDP), haciendo este cambio no encontrarán tu terminal. Por defecto, el servidor escucha en el puerto 3389 tanto para TCP como UDP.
  5. Restringir el acceso al RDP de algunas IPs específicas o, al menos, limitar el número de usuarios.
  6. Asegurarse de que tus sistemas y programas tienen todos los complementos de seguridad actualizados.

Si necesitas eliminar el Crysis o información sobre las soluciones de antivirus de Malwarebytes en Escuda te podemos ayudar, puedes contactar con nosotros rellenando este formulario o llamando al 931 931 848.