AVISO IMPORTANTE!! Nuevo y peligroso virus informático.

Queremos informaros sobre un nuevo VIRUS INFORMÁTICO , una variante llamada “Anti-child Porn Spam Protection 2.0”.

Este ataque se produce en la mayoría de los casos en fin de semana y va dirigido a empresas que utilizan el servicio Terminal Server en servidores Microsoft Windows 2003 Server. Para realizar el ataque se intentan comunicar con los servidores a través del puerto 3389, si el servidor les contesta, intentan acceder al servidor a través del terminal server utilizando la fuerza bruta para averiguar usuarios y contraseñas de acceso.

Una vez que se hacen con la contraseña de un usuario, elevan los privilegios aprovechando normalmente vulnerabilidades en el escritorio remoto (https://support.microsoft.com/es-es/help/2671387/ms12-020-vulnerabilities-in-remote-desktop-could-allow-remote-code-exe y https://support.microsoft.com/es-es/help/2828223/ms13-029-vulnerability-in-remote-desktop-client-could-allow-remote-cod), consiguiendo acceso al servidor con privilegios de administrador o ejecutando código de forma remota. En ese momento el atacante detiene o desinstala completamente el antivirus instalado, sea cual sea, e inicia el proceso de infección del sistema, cifrando los archivos que se encuentran en el servidor. Este ataque también afecta a las copias de seguridad que pueden ser cifradas o incluso eliminadas.

La infección cifra todos los datos en los siguientes formatos y le aplica una contraseña con clave AES de 256bits

.OMG Variante gpcodec.nak/gpcodec.nai que únicamente se pueden restaurár a través de una copia de seguridad  que no haya sido afectada.
.EXE Variante Filecoder que sí que son descifrables, aunque la solución puede tardar varios días.
.Crypt Variante que actualmente se encuentra en investigación por parte de nuestros laboratorios.

Un ejemplo de nombre de fichero cifrado:
Num_serie.txt(!! to get password email id 1138972443 to xxxxxxxx@gmail.com !!).exe

En el caso de que os encontréis con algún cliente infectado con cualquiera de estas variantes, comentaros que la infección es desinfectable pero que por ahora únicamente son recuperables los archivos afectados por la variante llamada Filecoder.

Para desinfectar el servidor es estrictamente necesario que realicéis el paso 1 de lo que mostramos a continuación.

DESINFECTATUORDENADOR

1 Crear un live cd de ESET Sysrescue y hacer un análisis del sistema https://kb.eset.es/home/soln2103

– Si la variante que ha afectado al servidor NO es gpcodec.nak/gpcodec.nai realizar los siguientes pasos:

2 Cuando el análisis con ESET haya finalizado y se hayan eliminado las amenazas, acceda a Herramientas > Cuarentena y pulse con el botón derecho sobre los archivos de la cuarentena y pulse en “Restaurar en…” y guarde los archivos en una ubicación en el disco duro para, posteriormente, enviárnoslo.

3 Los archivos provocadores de la infección provenientes de la cuarentena de la herramienta que los ha eliminado (anteriormente obtenidos)

4 Archivos cifrados por la infección y, si fuera posible, copias limpias de esos mismos archivos

5 Carpetas ocultas con archivos en c:programdata (los nombres están compuestos por 8 caracteres aleatorios).

Todo ello se comprime con contraseña y nos lo enviáis por correo a ayuda@eset.es indicándonos esa contraseña y el EAV del cliente infectado.

Seguiremos informando a través del portal de distribuidores (https://www.eset.es/) de cualquier novedad al respecto.

Para evitar este tipo de infecciones, desde el departamento técnico de ESET NOD32 en España aconsejamos realizar estas acciones:
Aplicar los parches de Microsoft disponibles para servidores Windows 2003 Server y superiores, sobre todo los que afecten al escritorio remoto es fundamental. https://technet.microsoft.com/library/security/ms13-029 
Comprobar las diferentes cuentas de acceso al sistema y eliminar o deshabilitar aquellas que no sean necesarias, sobre todo las que tengan acceso a escritorio remoto.
Cambiar las contraseñas de acceso. Es fundamental utilizar contraseñas robustas (es aconsejable utilizar números, mayúsculas, símbolos y además una longitud de 12 caracteres como mínimo) para al menos dificultar lo máximo posible que el ataque de fuerza bruta rompa tu seguridad.
– Disponer como mínimo de dos backups de sistema y por lo menos uno de ellos alojado en una ubicación diferente.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies