Nuevo ramsonware que secuestra ficheros en servidores Windows 2003 Server

Nuestro departamento de soporte técnico ha registrado varios casos de infección por un nuevo ramsonware llamado “Anti-child Porn Spam Protection” que afecta a servidores Microsoft Windows 2003. En su inmensa mayoría, el ataque ha sido dirigido a empresas españolas que utilizan Terminal Server para acceder a estos servidores: lanzan una llamada y si reciben respuesta a través del puerto 3389, utilizan la fuerza bruta para romper la contraseña y acceder al servidor y a sus contenidos.

eset-nod32-antivirus-ransomware-windows-2003-server

Se trata de una amenaza que utiliza la misma estrategia que el conocido “Virus de la Policía” que nos lleva trayendo de cabeza a usuarios, autoridades y empresas de seguridad desde hace varios meses. De hecho, ya advertíamos de que la captura de uno de los grupos que se encargaban de operar de esta manera no significaba la desaparición de la amenaza, ya que es más un modelo de negocio en sí que un ejemplar de código malicioso en concreto.

Una vez ha accedido, el atacante realiza diferentes acciones: realiza un escalado de privilegios en el sistema y detiene el antivirus, e inicia el proceso de infección del sistema, eliminando los backups y otros archivos y cifrando los datos del servidor. Para cifrar los datos, este software malicioso comprime todos los datos en formato .rar y le aplica una contraseña con clave AES de 256bits. Un ejemplo de cifrado es el siguiente:

asiento_contable2012.zip(!! to decrypt email id 601318046 to spain***@gmail.com !!).exe

A partir de este momento, si se intenta acceder, se muestra una pantalla al usuario que evita al acceso al servidor y que solicita una clave para descifrar los ficheros, imposibilitando realizar ninguna otra acción, salvo que el usuario pague una cuantía económica.

En este caso, cualquier producto de ESET NOD32 es capaz de detectar y eliminar este malware, pero al deberse a un ataque por medio del cual se deshabilita el antivirus, la protección residente se inutiliza.

Si has resultado afectado por esta infección, te recomendamos que contactes con el servicio de soporte técnico de tu solución de seguridad para que te indiquen los pasos a seguir con el fin de solucionar la incidencia. Y si no has tenido problemas, te recomendamos que sigas los siguientes pasos para evitar que te suceda:

  • Comprueba las diferentes cuentas de acceso al sistema y elimina o deshabilita aquellas que no sean necesarias.
  • Cambia tus contraseñas de acceso. Es fundamental utilizar contraseñas robustas (es aconsejable utilizar números, mayúsculas, símbolos y además una longitud de 12 caracteres como mínimo) para al menos dificultar lo máximo posible que el ataque de fuerza bruta rompa tu seguridad.
  • Aplica los parches de Microsoft disponibles para servidores Windows 2003 Server y superiores.

Si te ha sucedido, también te aconsejamos que denuncies el caso a la Unidad de Delitos Telemáticos de la Guardia Civil o de la Policía Nacional, para que se investigue y se llegue hasta el origen de estos ataques.

Recuerda que estamos a tu disposición para cualquier tipo de ayuda que pudieras necesitar.

David Sánchez

Yolanda Ruiz

3 Comentarios
  1. Avatar
  2. Josep Albors

Comentar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acerca de las cookies en este sitio

Este sitio web utiliza cookies propias y de terceros para mejorar tu experiencia de usuario y obtener información estadística. Para poder seguir navegando pulsa en "Sí, estoy de acuerdo". Podrás retirar este consentimiento en cualquier momento a través de las funciones de tu navegador. Ver nuestra política de cookies..