Windows Client: Eliminar gusano Win32/Forbix.A - accesos directos - Manuel.doc

En el laboratorio de hoy, vamos a ver como eliminar de nuestro sistema el gusano Win32/Forbix.A que sustituirá todos nuestros archivos de datos por accesos directos.

El gusano Win32/Forbix.A hará desaparecer todos los archivos de datos de nuestro sistema y los sustituirá por accesos directos que tendrán el mismo nombre que tenían nuestros archivos de datos desaparecidos.

Aplicará estos cambios en nuestro disco duro local, en todos los dispositivos de almacenamiento USB conectados a nuestro equipo y también a todas las unidades de red que tengamos configuradas.

Cada uno de los accesos directos que el gusano Win32/Forbix.A creará, si fueran ejecutados por otros usuarios de nuestra red desde alguna de las unidades compartidas infectadas. Ejecutarán nuevamente el proceso descrito anteriormente en el equipo local del segundo usuario. Sustituyendo todos los archivos de datos del segundo usuario  que se encuentren en disco el duro local de su equipo, en los dispositivos de almacenamiento USB conectados al equipo y también a las unidades de red que tenga configuradas, por accesos directos.

Ransomware vs Trend Micro OfficeScan.

En el artículo de hoy, hemos querido crear una nueva sección para nuestro blog dedicado a las pruebas de concepto. En nuestro canal de YouTube, realizaremos demostraciones del funcionamiento de algún programa o aplicación que nos parezca de interés. 

En esta nos ocasión, nos hemos estado divirtiendo con los Ransomware y la solución de antivirus para endpoint de Tend Micro, llamada Officescan. Hemos de decir, que no ha sido fácil capturar algún Ransomware vivo, porque, además de la aplicación endpoint de Trend Micro, también tenemos instalado Trend Micro ScanMail para Exchange en nuestro servidor de correo electrónico y este no dejaba pasar ningún correo electrónico infectado.

El Ransomware es una plaga que viene de lejos, apareció por primera vez en el año 2012 de forma muy localizada con un Ransomware llamado Reveton y su distribución y variedades fueron creciendo hasta llegar al septiembre del año 2013, que hizo su aparición el Ransomware basado en cifrado de archivos conocido como CryptoLocker.

El Ransomware es un tipo de programa informático malintencionado que restringe el acceso a archivos del sistema operativo que infecta, y seguidamente pide un rescate a cambio de quitar dicha restricción. 

La mayoría de los Ransomware, simplemente encriptan los datos personales del usuario y posteriormente coaccionan al usuario con el fin de hacerle pagar un rescate para la recuperación de dichos archivos.

Los más conocidos por todos, podrían ser CryptoLocker y Locky, con sus famosos mensajes de correo electrónico de la llegada de un paquete de Correos o la factura exageradamente cara de luz de Endesa respectivamente, hasta llegar a la actualidad con WannaCry aparecido el 12 de mayo de 2017.

WanaCryptor o más conocido como WannaCry es un Ransomware que aparece el 12 de mayo de 2017, el código ataca una vulnerabilidad de Microsoft Windows SMB Server que se describe en el Microsoft Security Bulletin MS17-010.

WannaCry  cifra los datos que y pide, para poder recuperar dichos datos, que se pague una cantidad determinada de dinero en un tiempo determinado. Si el pago no se hace efectivo en el tiempo estipulado en la nota de rescate, el usuario no podrá tener acceso a sus datos cifrados.

Un equipo infectado con WannaCry que se conecte a una red puede contagiar a otros dispositivos conectados.

Se pudo detener su expansión de WannaCry un gracias a Marcus Hutchins (@MalwareTechBlog) un programador de Reino Unido, autor del blog llamado MalwareTechBlog.

Windows 2012 Command Line: Eliminar archivos de Ransomware Endesa.

Todos nos hemos acostumbrado a buscar y eliminar archivos desde la GUI de nuestros servidores sin pararnos a pensar mucho en si puede tener alguna posible consecuencia negativa.

Hace unas semanas, me encontré con un caso que he querido documentar, el entorno detallado es el siguiente:

Un servidor Windows 2012 R2 es atacado por el virus Ransomware Endesa y como consecuencia  de ello todos  los archivos de datos de los usuarios son encriptados.

Después de desencriptar convenientemente todos los datos, busqué en la unidad de disco, haciendo uso de la GUI de Windows 2012 todos los archivos con la extensión *.encrypted y los borré, seguidamente comprobé que no quedaba ningún archivo.

Al día siguiente, el cliente me comenta que todavía quedan muchos archivos en el sistema con la extensión *.encrypted, para mi sorpresa al hacer una segunda búsqueda desde la GUI de Windows 2012 aparecen varios miles de archivos *.encrypted que borro inmediatamente, después de realizar el segundo borrado de archivos vuelvo a comprobar que no queden archivos desde la GUI y, esta vez también desde Command Line. El resultado de las dos búsquedas es el que podéis ver en la imagen que viene a continuación.

Desde la GUI no puede encontrar archivos *.encrypted pero, desde linea de comandos si aparecen, y no pocos.

Para realizar una búsqueda desde la linea de comandos de Windows podéis consultar el enlace siguiente:

• Windows Command Line: Buscar archivos y guardar el listado en un archivo de texto.

Esto sucede porque el volumen de los archivos que se han encriptado es muy grande y los servicios de indización de Windows no dan abasto, como los nuevos archivos tardan en ser indizados la búsqueda de Windows no muestra los archivos o los muestra con mucho retraso.

Cryptoloker Ransomware Endesa: Eliminar ventanas emergentes.

Por desgracia, en la actualidad el Ransomware supone una gran amenaza para nuestros datos y también para nuestros dispositivos, que se encuentra en proceso de crecimiento.

El cifrado de nuestros datos y pedir posteriormente un rescate económico para poder recuperarlos, forma parte del proceder habitual de este tipo de amenaza. 

Por suerte, actualmente en muchas ocasiones tenemos la posibilidad de poder desencriptar nosotros mismos nuestros datos, usando algunas de la multitud de herramientas que existen en la red destinadas a esta tarea. Muchas de ellas, han sido recopiladas en un paquete llamado Ransomware Removal Kit. 

Windows Command Line: Buscar archivos y guardar el listado en un archivo de texto.

En el laboratorio de hoy vamos a ver un poco de comandos, veremos como sacar un listado de archivos de nuestro disco duro y plasmarlo en un documento de texto, usando linea da comandos.

Muy sencillo, usaremos el comando DIR. DIR ha existido como comando de DOS desde la primera versión de MS-DOS y forma parte del intérprete de comandos y su función, es mostrar una lista de archivos y directorios que contiene una unidad o directorio.

Veamos cuales son los modificadores de DIR

DIR [unidad:][ruta][archivo] [/A[[:]atributos]] [/B] [/C] [/D] [/L] [/N]

  [/O[:]orden]] [/P] [/Q] [/R] [/S] [/T[[:]fecha]] [/W] [/X] [/4]

  [unidad:][ruta][nombre de archivo]

              Especifica la unidad, el directorio y los archivos que se

              mostrarán.

  /A          Muestra los archivos con los atributos especificados.

  atributos    D  Directorios             R  Archivos de sólo lectura

               H  Archivos ocultos        A  Archivos para archivar

               S  Archivos de sistema     I  No archivos indizados de contenido

               L  Puntos de análisis      -  Prefijo de exclusión

  /B          Usa el formato simple (sin encabezados ni sumarios).

  /C          Muestra el separador de miles en el tamaño de los archivos.

              Es la opción predeterminada. Use /-C para deshabilitar

              la aparición de dicho separador.

  /D          Similar al listado ancho, pero los archivos aparecen

              clasificados por columnas.

  /L          Usa letras minúsculas.

  /N          Nuevo formato de lista larga donde los nombre de archivo aparecen

              en el lado derecho.

  /O          Muestra los archivos según el orden indicado.

  Orden        N  Por nombre (orden alfabético)

               E  Por extensión (orden alfabético)

               S  Por tamaño (orden creciente)

               D  Por fecha y hora (el más antiguo primero)

               G  Agrupar primero los directorios

               -  Prefijo para invertir el orden

  /P          Hace una pausa después de cada pantalla completa de información.

  /Q          Muestra el propietario del archivo.

  /R          Muestra las secuencias alternativas de datos del archivo.

  /S          Muestra los archivos del directorio especificado y todos

              sus subdirectorios.

  /T          Controla el campo de fecha que se mostrará o usará para

              realizar la clasificación

  fecha       C  Creación

              A  Último acceso

              W  Última modificación

  /W          Use el formato de listado ancho.

  /X          Muestra los nombres cortos generados para los nombres de archivo

              sin formato 8.3. El formato es el mismo que para /N, con el

              nombre corto especificado antes del nombre largo. Si no existe

              un nombre corto, se muestran espacios en blanco en su lugar.

  /4          Muestra el año con 4 dígitos

A su vez, podemos dar distintas salidas a los resultados que obtendremos del comando DIR.

Por ejemplo, si usamos DIR sin nada detrás, mostraremos el contenido de la unidad en la que estemos por la pantalla.

dir o dir c:\

Si por lo contrario, deseamos que el resultado de DIR, quede guardado en un documento de texto que no existe, usaremos el símbolo > y el comando final quedará de la manera siguiente.

dir > c:\ejemplo.txt

Si quisiéramos agregar la búsqueda de archivos  a un archivo de texto que ya existe usaremos >>, veamos el ejemplo.

dir >> c:\ejemplo.txt

O también, podríamos imprimir directamente el resultado, usando > LPT1.

dir > LPT1

Si tenemos una impresora USB, primero, deberemos compartir dicha impresora, en nuestro equipo y ejecutar el comando siguiente para que dir >LPT1 funcione.

NET USE LPT1: \\NOMBRE_DEL_EQUIPO\NOMBRE_IMPRESORA /persistent:yes

De este modo estamos redirigiendo las peticiones de impresión del puerto LPT1 a la impresora que hemos compartido en nuestro equipo. Hemos usado también el modificador /persistent:yes, para indicar que queremos que la redirección siga disponible después de reiniciar nuestro el equipo. Este método también sirve para impresoras de red.

Para nuestro ejemplo, y aprovechando el auge del virus Cryptolocker, haremos una búsqueda en un repositorio NAS, que en parte, ha sido encriptado por Cryptolocker, haremos un listado de los archivos dañados en un documento de texto para que a posteriori podamos recuperar de la copia de seguridad todos y cada uno de ellos.

Usaremos el comando de la siguiente manera

dir /s *.encrypted > c:\encrypted.txt

Usaremos el modificador /S para mostrar todos los archivos del directorio especificado y todos sus subdirectorios.

A su vez ordenaremos a DIR que solo muestre los archivos cuya extensión sea encrypted para ello escribiremos *.encrypted.

Para finalizar indicaremos que queremos que el resultado de la búsqueda se guarde en un documento de texto en la unidad C:\ y que queremos que se llame encrypted.txt

Comprobaremos que en la unidad C:\ no tenemos ningún archivo llamado encrypted.txt.

Ejecutaremos el comando, tardará el tiempo que sea necesario y volverá a aparecer el Prompt al finalizar la acción.

Hecho esto, comprobaremos que efectivamente hemos creado un nuevo documento de texto en la unidad C:\ de nuestro ordenador.

Al editarlo, encontraremos el listado de archivos que han sido encriptados por el virus Cryptolocker.

Espero que os sea de utilidad