martes, 25 de junio de 2013

Urgente : Anti-child Porn Spam Protection 2.0



Recien llegado de ESET, hace poco hubo otro ataque de este tipo de ransomware, pero parece que esta es una variante nueva.

 
Hola a todos,

Queremos informaros sobre una nueva variante de la infección llamada “Anti-child Porn Spam Protection 2.0”.

Este ataque se produce en la mayoría de los casos en fin de semana y va dirigido a empresas que utilizan el servicio Terminal Server en servidores Microsoft Windows 2003 Server. Para realizar el ataque se intentan comunicar con los servidores a través del puerto 3389, si el servidor les contesta, intentan acceder al servidor a través del terminal server utilizando la fuerza bruta para averiguar usuarios y contraseñas de acceso.

Una vez que se hacen con la contraseña de un usuario, elevan los privilegios aprovechando normalmente vulnerabilidades en el escritorio remoto (http://support.microsoft.com/kb/2671387 y http://support.microsoft.com/kb/2828223), consiguiendo acceso al servidor con privilegios de administrador o ejecutando código de forma remota. En ese momento el atacante detiene o desinstala completamente el antivirus instalado, sea cual sea, e inicia el proceso de infección del sistema, cifrando los archivos que se encuentran en el servidor. Este ataque también afecta a las copias de seguridad que pueden ser cifradas o incluso eliminadas.

La infección cifra todos los datos en los siguientes formatos y le aplica una contraseña con clave AES de 256bits

 - .OMG Variante gpcodec.nak/gpcodec.nai que únicamente se pueden restaurár a través de una copia de seguridad  que no haya sido afectada.
 - .EXE Variante Filecoder que sí que son descifrables, aunque la solución puede tardar varios días.
 - .Crypt Variante que actualmente se encuentra en investigación por parte de nuestros laboratorios.

Un ejemplo de nombre de fichero cifrado:
Num_serie.txt(!! to get password email id 1138972443 to xxxxxxxx@gmail.com !!).exe

En el caso de que os encontréis con algún cliente infectado con cualquiera de estas variantes, comentaros que la infección es desinfectable pero que por ahora únicamente son recuperables los archivos afectados por la variante llamada Filecoder.

Para desinfectar el servidor es estrictamente necesario que realicéis el paso 1 de lo que mostramos a continuación.

1 Crear un live cd de ESET Sysrescue y hacer un análisis del sistema http://kb.eset.es/home/soln2103

- Si la variante que ha afectado al servidor NO es gpcodec.nak/gpcodec.nai realizar los siguientes pasos:

2 Cuando el análisis con ESET haya finalizado y se hayan eliminado las amenazas, acceda a Herramientas > Cuarentena y pulse con el botón derecho sobre los archivos de la cuarentena y pulse en "Restaurar en..." y guarde los archivos en una ubicación en el disco duro para, posteriormente, enviárnoslo.

3 Los archivos provocadores de la infección provenientes de la cuarentena de la herramienta que los ha eliminado (anteriormente obtenidos)

4 Archivos cifrados por la infección y, si fuera posible, copias limpias de esos mismos archivos

5 Carpetas ocultas con archivos en c:programdata (los nombres están compuestos por 8 caracteres aleatorios).

Todo ello se comprime con contraseña y nos lo enviáis por correo a ayuda@eset.es indicándonos esa contraseña y el EAV del cliente infectado.

Seguiremos informando a través del portal de distribuidores (http://portal.eset.es) de cualquier novedad al respecto.

Para evitar este tipo de infecciones, desde el departamento técnico de ESET NOD32 en España aconsejamos realizar estas acciones:
    - Aplicar los parches de Microsoft disponibles para servidores Windows 2003 Server y superiores, sobre todo los que afecten al escritorio remoto es fundamental. http://technet.microsoft.com/es-es/security/bulletin/ms13-029 
    - Comprobar las diferentes cuentas de acceso al sistema y eliminar o deshabilitar aquellas que no sean necesarias, sobre todo las que tengan acceso a escritorio remoto.
    - Cambiar las contraseñas de acceso. Es fundamental utilizar contraseñas robustas (es aconsejable utilizar números, mayúsculas, símbolos y además una longitud de 12 caracteres como mínimo) para al menos dificultar lo máximo posible que el ataque de fuerza bruta rompa tu seguridad.
    - Disponer como mínimo de dos backups de sistema y por lo menos uno de ellos alojado en una ubicación diferente. 
    - Proteger con contraseña la protección de los productos ESET tanto en equipos clientes como en servidores.     

Ya sabéis que estamos a vuestra disposición para lo que necesitéis.

Un cordial saludo,
Departamento técnico de ESET en Ontinet.com

3 comentarios:

Unknown dijo...

No funciona ... lo tengo en mi server 2003 y tengo todos los ficheros encriptados tipo:
Num_serie.txt(!! to get password email id 1138972443 to xxxxxxxx@gmail.com !!).exe

y nada no hay manrea. de desencriptarlo.
Saludos
Manuel

MMR dijo...

Tendrias que dirigirte a tu empresa de antivírus para que te pasen un limpiador. Tendras que adjuntar una muestra del mismo fichero, limpio, e infectado.
Creo que en Dr. Web lo hacen aunque no seas cliente

Unknown dijo...

Ya me he puesto en contacto con Dr. Web y después de 5 días intercambiando información ... me dice que no hay nada que hace.
Lastima, por que se ha perdido mucha información.