Configurando McAfee VirusScan Enterprise para evitar Ransomwares

Existen muchas variedades de Ransomware (técnica utilizada para cifrar la información y pedir rescate para recuperarla), generalmente llegan por correo electrónico, aunque también se puede dar el caso por visitar webs (infectadas o a propósito) y que pueden descargar dichos malwares.

Uno de los puntos más débiles en seguridad es utilizar sistemas y/o aplicaciones sin los últimos parches aplicados, este punto es muy importante debido a la inseguridad que provocan dichas vulnerabilidades, por esta razón es altamente aconsejable utilizar sistemas operativos y aplicaciones vigentes y con soporte, con un plan de actualizaciones para solucionar los agujeros de seguridad que se van detectando.

Otro punto muy importante es una correcta formación a los usuarios finales, para poder diferenciar lo que es correcto y lo que no, evitando de esta forma las trampas de ingeniería social que se utilizan para hacer que el usuario termine ejecutando el malware.

Una buena solución perimetral que controle la navegación y los correos electrónicos bien configurada puede evitar muchos de estos problemas. Validar las URL para saber si se trata de una dirección de phishing, maliciosa o con descargas de malware, evitar que ficheros ejecutables, documentos con macros, scripts, etc., puedan llegar al usuario final, puede evitar muchos quebraderos de cabeza.

Si aún activando y configurando todos estos filtros, o por si por políticas de la empresa estos ficheros deben entregarse al usuario final o por no disponer de soluciones perimetrales, damos una serie de configuraciones para que el VirusScan en función de la variante del ransomware que le pueda llegar al usuario, y si éste lo ejecuta, poder minimizar los efectos en lo posible.

• Regla para impedir que archivos ejecutables se ejecuten en AppData y evitar que puedan crearse nuevos archivos ejecutables
  
  
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
  Genere la siguiente regla:
  
• Prevención de la ejecución de scripts desde la carpeta temporal:Marcar también “Bloquear”
• Evitar la ejecución de nombre específico del script en la carpeta temp
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Prevenir que nuevos ejecutables sean creados por Word.EXE, EXCEL.EXE o POWERPNT.EXE en la carpeta TEMP
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación del valor de la clave bajo “HKCU\Software\locky”
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
  
• Bloquear la creación de ficheros con extensión “.locky” por un procesos ejecutado desde la carpeta %temp%
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación y ejecución de ficheros EXE de AppData
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación de ficheros .tmp.tmp en AppData
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación del valor de la clave CryptoLocker
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
  
• Bloquear la creación de ficheros .cry en AppData
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación y ejecución de ficheros decrypt_instruction.*
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación de ficheros *.encrypted en AppData
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la escritura y creación de ficheros *.EXE en AppData
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la ejecución y creación de ficheros *.scr
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la ejecución de inyencción de codigo en Explorer
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear el mecanismo de autoreinicio
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación de ficheros HELP_DECRYPT.HTML
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación de ficheros HELP_DECRYPT.TXT
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación de ficheros Howto_RESTORE_FILES.bmp
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación de ficheros Howto_RESTORE_FILES.html
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación de ficheros HELP_YOUR_FILES.HTML
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación de ficheros HELP_YOUR_FILES.TXT
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:
• Bloquear la creación de ficheros HELP_YOUR_FILES.PNG
  Entre en la consola de VirusScan, Protección de acceso y genere una nueva regla definida por el usuario:

Más información en los siguientes enlaces:

Knowledgebase Article on latest Ransomware – Locky
Knowledgebase Article on latest Ransomware – X97M/Downloader
Knowledgebase Article – Protecting against Cryptolocker, CryptoWall & Teslacrypt

 

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 3 de Marzo de 2016