PDF de programación - CCN CERT IA 21 14 Ransomware

SIN CLASIFICAR



Informe de Amenazas
CCN-CERT IA-01/16

MEDIDAS DE SEGURIDAD
CONTRA RANSOMWARE



Agosto 2016



SIN CLASIFICAR



CCN-CERT IA-01/16 Medidas de seguridad contra Ransomware



SIN CLASIFICAR



LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando
expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún
caso, el Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto,
fortuito o extraordinario derivado de la utilización de la información y software que se indican incluso
cuando se advierta de tal posibilidad.

AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las
sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier
medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de
ejemplares del mismo mediante alquiler o préstamo públicos.



SIN CLASIFICAR

2

CCN-CERT IA-01/16 Medidas de seguridad contra Ransomware



SIN CLASIFICAR



1.

2.

3.

ÍNDICE

SOBRE CCN-CERT .............................................................................................................. 4

PRÓLOGO........................................................................................................................... 5

VÍAS DE INFECCIÓN .......................................................................................................... 7

4. MEDIDAS PREVENTIVAS ..................................................................................................... 9

4.1

4.2

LISTADO DE MEDIDAS PREVENTIVAS ...............................................................................9

PRINCIPALES MEDIDAS PREVENTIVAS .......................................................................... 10

5. MEDIDAS REACTIVAS ...................................................................................................... 15

5.1

5.2

5.3

PROCEDIMIENTO GENERAL .......................................................................................... 15

COMUNICACIÓN DEL INCIDENTE ................................................................................ 18

VALORACIÓN DE ESCENARIOS .................................................................................... 18

6.

RESTAURACIÓN DE FICHEROS ........................................................................................ 20

6.1

6.2

6.3

SHADOW VOLUME COPY ............................................................................................. 20

RESTAURACIÓN DE FICHEROS EN DROPBOX ............................................................. 21

RESTAURACION DE FICHEROS EN GOOGLE DRIVE .................................................. 23

7.

DESCIFRADO DE RANSOMWARE .................................................................................... 24

7.1

7.2

7.3

TABLA RESUMEN .............................................................................................................. 24

IDENTIFICACIÓN DEL RANSOMWARE .......................................................................... 25

HERRAMIENTAS DE DESCIFRADO ................................................................................. 25

8.

REFERENCIAS .................................................................................................................... 26



3

SIN CLASIFICAR

CCN-CERT IA-01/16 Medidas de seguridad contra Ransomware



SIN CLASIFICAR


1. SOBRE CCN-CERT

El CCN-CERT (www.ccn-cert.cni.es) es la Capacidad de Respuesta a incidentes de
Seguridad de la Información del Centro Criptológico Nacional, CCN. Este servicio se creó en
el año 2006 como CERT Gubernamental Nacional español y sus funciones quedan recogidas
en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 de
regulación del CCN y en el RD 3/2010, de 8 de enero, regulador del Esquema Nacional de
Seguridad, modificado por el RD 951/2015, de 23 de octubre.

De acuerdo a todas ellas, el CCN-CERT tiene responsabilidad en ciberataques sobre
sistemas clasificados y sobre sistemas de las Administraciones Públicas y de empresas y
organizaciones de interés estratégico para el país. Su misión, por tanto, es contribuir a la
mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que
coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de
forma activa las ciberamenazas.



4

SIN CLASIFICAR

CCN-CERT IA-01/16 Medidas de seguridad contra Ransomware



SIN CLASIFICAR


2. PRÓLOGO

Tal y como describe la Wikipedia [Ref.-1]: “Un ransomware es un tipo de programa
informático malintencionado que restringe el acceso a determinadas partes o archivos del
sistema infectado y pide un rescate a cambio de quitar esta restricción. Algunos tipos de
ransomware cifran
inutilizando el dispositivo y
coaccionando al usuario a pagar el rescate”.

los archivos del sistema operativo

Aunque inicialmente este tipo de código dañino estaba limitado a determinados
países de Europa del Este, en los últimos años la proliferación de ransomware ha ido en
aumento como consecuencia directa de las grandes sumas de dinero que reporta a los
atacantes, extendiéndose así por toda Europa, Estados Unidos y Canadá.

A diferencia de otras categorías de código dañino cuyo objetivo es extraer
información o utilizar los equipos como bots para diversos fines (proxys, ataques DOS, etc.), el
ransomware tiene un único propósito: obtener dinero de forma inmediata. Para conseguir
esto, el código dañino tratará de inducir miedo al usuario utilizando diversos elementos
(scareware); por ejemplo, mediante avisos emitidos supuestamente por empresas o
agencias de la ley que falsamente afirman que el sistema ha sido utilizado para actividades
ilegales (por ejemplo: pornografía infantil, software ilegal, etc.). Dichos mensajes irán
acompañados de un formulario en el que se exigirá al usuario que pague cierta suma de
dinero a modo de sanción. El método de pago consistirá generalmente en sistemas de pago
electrónico (Ukash, Paysafecard, MoneyPak, etc.), por medio de SMS premium o mediante
Bitcoins.

En el mejor caso, el ransomware únicamente bloqueará el equipo del usuario
impidiendo la ejecución de determinados programas, generalmente por medio de un
banner a pantalla completa en el que podrá visualizarse el mensaje de extorsión. En algunos
casos el contenido del mensaje será mostrado en el idioma correspondiente en base a la
geo-localización de la máquina comprometida para dotar a éste de mayor credibilidad.

El conocido "virus de la policía", el cual tuvo cierta repercusión en España durante los

años 2011 y 2012, es un ejemplo de este tipo de ransomware.

En los últimos años, sin embargo, las acciones dañinas de este tipo de código dañino
han ido evolucionando dando lugar a una nueva generación de ransomware denominados
"file encryptors", cuyo principal objetivo es cifrar la gran mayoría de documentos del equipo.
En este caso, la principal herramienta de extorsión será el pago de cierta cantidad de dinero
a cambio de la clave que permitirá recuperar (descifrar) los ficheros originales.

La complejidad de dicho cifrado variará en función del tipo de ransomware. Algunos
implementan determinados algoritmos de cifrado en el propio código (Blowfish, AES, TEA,
RSA, etc.) mientras que otros se apoyarán en herramientas de terceros (por ejemplo,
herramientas como LockDir, GPG, WinRAR, etc.).

Las acciones ofensivas de ciertos tipos de ransomware pueden resultar muy dañinas.
Por ejemplo, CryptoLocker emplea una combinación de cifrado simétrico y asimétrico para
hacer realmente compleja la recuperación de los ficheros originales. Además, dichos
ficheros son comúnmente sobrescritos en disco mediante ciertas herramientas de seguridad
(por ejemplo, Microsoft SysInternals SDelete) para impedir su recuperación por técnicas



5

SIN CLASIFICAR

CCN-CERT IA-01/16 Medidas de seguridad contra Ransomware



SIN CLASIFICAR


forenses. Asimismo, algunas variantes utilizan clientes de la red TOR1 o I2P2 para dificultar la
trazabilidad de los servidores de control a los que se conectan los equipos infectados.

Como puede deducirse de dichas acciones, las consecuencias de un código dañino
de estas características en un entorno corporativo pueden ser devastadoras. Además,
dichas consecuencias pueden agravarse aún más si se cuenta con dispositivos de backup
directamente conectados con el equipo infectado, ya que algunos tipos de ransomware
comprueban cada una de las unidades montadas así como recursos compartidos de red
para cifrar también su contenido.

Figura 1. Ejemplo ransomware



A raíz de estos hechos, el presente informe tiene por objetivo dar a conocer
determinadas pautas y recomendaciones de seguridad que ayuden a los responsables de
seguridad a prevenir y gestionar incidentes derivados de un proceso de infección por parte
de determinados tipos de ransomware. El informe describirá aspectos técnicos de algunas
de las muestras de ransomware más activas actualment