jueves, 18 de mayo de 2017

Ransomware: termina ya con el problema.

                     (P) Hugo Napoli, 2017                   
Rápida respuesta ofrecida por el Blog de Informática de Hugo para combatir el problema actual de ataques de ransomware en Sistemas Operativos de Microsoft (los únicos que se infectan con virus de cualquier tipo, incluso poseyendo buenos antivirus actualizados).

Si posee información sensible en su hogar o empresa, le recomendamos no confiar en Windows. No guarde información importante en máquinas con Windows. No utilice Windows para abrir sitios que requieran de acceso por usuario y contraseña, tales como páginas web de Bancos, Financieras o entes estatales. No revise su correo en Sistemas Windows. Utilice para todo esto Sistemas Operativos GNU-Linux o MAC.
Construya un servidor Linux y guarde sus datos relevantes allí.



Recuerde, por último, que piratear software, conduce a la desactualización, y la desactualización, a la vulnerabilidad.



0. Regla cero: utilice Linux o MAC.
¿A quién se le ocurre colocar datos sensibles en un Sistema Operativo...

  • ...altísimamente infectable?
  • ...que necesita antivirus, anti espías, anti ransomware, seguridad USB, y supervisión, mantenimiento y actualizaciones constantes?
  • ...que en sus foros oficiales y su ayuda incluida jamás posee una respuesta que valga la pena aplicar o leer?
  • ...que no es gratuito?
  • ...que posee productos genuinos "inyectados" que lo hacen aún más vulnerable de lo que ya es, como el inseguro Internet Explorer (y todos sus derivados, sucesores y antecesores) y el tosco y peligroso Windows Defender?
  • ...que pese a toda la dedicación invertida por los fabricantes de software, hace que los programas fallen, de todos modos?
  • ...que tras un corte de energía eléctrica, lo primero que hace es ofrecer "soluciones" al dañado o desajuste del débil y delicado arranque?
  • ...que hereda problemas no manejados por sus desarrolladores desde la época de... ¡Windows 95!?
  • ...que no sabemos cómo manipula nuestros datos ni cómo realiza sus trabajos y que solo sabemos que "funciona"?
  • ...al que hay que colocarle -desde Windows 8 hasta Windows 10 al menos- parches de seguridad... ¡para que no espíe al usuario!?
  • ...que no se adapta a estándares, salvo cuando es presionado y obligado legalmente?
  • ...que es sumamente agresivo y desleal con la competencia?
  • ...que sobrevive gracias a... ¡la piratería!?
  • ...que es ineficiente combatiendo a la piratería, justamente debido al punto anterior?
  • ...que en lo único en que es realmente bueno es en el área del entretenimiento y del procesamiento multimedia?
  • ...que consume cada vez más y más recursos de hardware innecesariamente, obligando al usuario a invertir en piezas eléctricas para su correcto funcionamiento?
  • ...que no puede ser instalado en máquinas un poco pasadas de moda, debido al esfuerzo al que somete al ordenador y a sus graves problemas de seguridad?
  • ...que es desarrollado por una empresa global que, pese a poseer todos los recursos necesarios y a programadores de muy alto nivel, produce otros elementos de tremendo impacto y malísima calidad como Windows Phone, hotmail, Windows Media Player, Internet Explorer, Microsoft Security Essentials y Windows Defender?


1. Actualice Flash Player en todos sus navegadores, o mejor aún, si puede, deje de utilizar este otro problemático e inseguro producto, de una buena vez. ¡NO utilice Internet Explorer!

2. Actualice su Sistema Operativo Windows de manera automática hasta que no queden más actualizaciones ofrecidas en Windows Update, o bien, si su Windows está pirateado, descargue el paquete para sistemas de escritorio, el obsoleto, o el de actualización de servidores, según sea el caso. Lea la información que sigue antes de proceder con la instalación de los parches.
Nomenclatura básica para instalar los parches, luego de su descarga.
ix86, significa "32 bits".
amd64, significa "64 bits".
El soporte para procesadores "itanium" no fue tenido en cuenta.
Por favor, diríjase a las áreas de descarga de parches de Microsoft para este tipo de procesador, y busque entre las descargas, la que corresponda:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012214
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012217
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429
Los sistemas "Embedded", no fueron tenidos en cuenta al momento divulgar esta ayuda.
Diríjase a los mismos enlaces que han sido brindados inmediatamente arriba. Entre ellos encontrará soporte, también, para Windows "Embedded(s)".

El directorio "Escritorio", contiene los parches aplicables a Windows 7, 8 y 8.1. Se ofrece la descarga propia del autor del blog.



El directorio "Obsoletos", contiene actualizaciones para los Sistemas Operativos Windows XP y Vista, únicamente. No realice esta descarga si la misma no es necesaria.



El directorio "Servidores", contiene los parches aplicables a las ediciones "Server" (2003, 2008 y 2012) y "Datacenter". También se ofrece en descarga propia del autor del blog.




Para Windows 10 y Windows Server 2016, se ofrecen los enlaces de descarga directa oficiales de Microsoft:
Todos los parches han sido obtenidos dentro del sitio web de Microsoft.
La URL principal para ello, ha sido la siguiente:


ATENCIÓN: si no puedes instalar con facilidad -o debido a errores- las actualizaciones proporcionadas por Microsoft (directamente desde su sitio web), aquí te dejo las que estoy utilizando y que sí funcionan en la mayoría de los casos -o en todos-.
Estas fueron obtenidas con el programa "WSUS Offline Update", y se brindan en formato ".iso". Este archivo debe ser descomprimido, y a continuación, las actualizaciones deben ser instaladas utilizando el instalador que ya viene incluido (UpdateInstaller.exe).

Se agradece el "mirroring" o "espejado" de estos archivos, ya que el servidor en donde están alojados no soporta sobrecargas.

No está permitido enlazar a otros sitios estos links. El trasiego o copia de estos enlaces hacia otros sitios web, será denunciado. Solamente se permite la descarga del material al que apuntan los mismos. Si quieres incluir el material en tu sitio web, puedes hacerlo, pero encárgate tú de la subida del mismo y de compartirlo genuinamente, así como yo mismo lo estoy haciendo.

Windows Vista y Windows Server 2008 (arquitecturas amd64 e ix86)
Windows 7 y Windows Server 2008 R2 (arquitecturas amd64 e ix86)
Windows 8.1 y Windows Server 2012 (arquitecturas amd64 e ix86)
Windows 10 y Windows Server 2016 (arquitecturas amd64 e ix86)



3. Descargue e instale la herramienta gratuita Kaspersky Anti-Ransomware Tool For Business. 

Si prefiere la herramienta actualizada a una fecha posterior al 18/5/2017, visite el sitio de Kaspersky para tal fin (se exige registro rápido para la descarga gratuita).






4. Desinstale cualquier tipo de programa que no utilice, y detenga o elimine cualquier software de control a distancia que facilite innecesariamente el uso remoto de Windows (vnc, hamachi, teamviewer, etc.).




5. NO utilice NetBIOS sobre TCP/IP en los protocolos de conexiones de red. El ataque e ingreso a través de los puertos UDP 137, UDP 138 y TCP 139 para comunicarse con el protocolo de transporte de datos NetBIOS (Network Basic Input Output System), permite la ejecución de ciertos comandos (como "nbstat" [NetBIOS status]) que pueden revelar nombres de máquinas y direcciones IP en su intranet, y direccionamientos del tráfico interno de red.

Por lo tanto, cierre estos 3 puertos en el firewall de Windows, y además, también el puerto TCP 445, el cual permite que el protocolo SMB (Server Message Block) invoque al protocolo NetBIOS a través de este puerto, consiguiendo, el atacante, obtener mediante el puerto 445 lo que no pudo conseguir atacando los anteriores 3.

¿Cómo se hace esto? Vaya al Firewall de Windows, luego a "Opciones avanzadas", "reglas entrantes". Haga clic derecho, seleccione "Nueva regla", escoja el tipo de puerto (TCP o UDP), y el número del mismo. 



En algunos sitios, se recomienda bloquear en el antivirus que esté utilizando, las extensiones utilizadas por este tipo de intruso: 
  • wcry
  • wcryt
  • wncry
  • wnry
  • wry



Datos adicionales y fuentes consultadas:

https://www.techrepublic.com/blog/it-security/the-problem-with-netbios/
https://securityonline.info/prevent-wannacry-make-sure-closed-port-445137138139-windows/
http://www.computerworld.com/article/3053959/malware-vulnerabilities/adobe-flash-player-cerber-ransomware-itbwcw.html
https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/22-ransomware-prevention-tips/
https://www.theguardian.com/technology/2017/may/15/windows-xp-patch-wannacry-ransomware-wecry-wanacrypt0r
https://www.thesun.co.uk/tech/3563174/microsoft-ms17-010-windows-patch-protect-pc-wannacry-ransomware/
https://special.s.kaspersky-labs.com/special/2c468qqn8yogd8p4wlyc/kaspersky_anti_ransomware_tool_for_business_1.1.31.0_en.msi
https://www.cert.uy/inicio/novedades/alertas_y_vulnerabilidades/aviso+a+administradores+de+sistemas+sobre+ransomware
http://www.bbc.com/mundo/noticias-internacional-39905600
http://www.pandasecurity.com/spain/mediacenter/pandalabs/wannacry-eternalblue-otros-ataques/
https://superuser.com/questions/637696/what-is-netbios-does-windows-need-its-ports-137-and-138-open




ENTRADA EN CONSTRUCCIÓN.