En el meu últim article al Crònica econòmica del mes de maig alertava de l’evolució exponencial dels ciberatacs per ransomware. El 12 de maig passat es va desencadenar un atac mundial sense precedents. Més de 150 països afectats, amb més de 200.000 víctimes declarades. En aquest darrer atac vam constatar evolucions tècniques en els mètodes de propagació viral creats pels cibercriminals. A continuació us oferim alguns consells per preveure aquestes amenaces i tenir uns bons reflexos enfront d’elles.

Noms del ransomware identificat: Wanacrypt, Wcry, Wanna Decryptor, Wanacry, Win32/WannaCrypt.

Tipus d’atac: Cryptolocker. Es tracta d’un programa informàtic malèvol que encripta automàticament les nostres dades i les fa inaccessibles sense una contrasenya. Els cibercriminals, per missatge automàtic, ens demanaran diners com a contrapartida per obtenir la dita contrasenya.

Forma d’operar: aquest Cryptolocker de nova generació ha utilitzat un error de seguretat publicat per Microsoft el 14 de març del 2017 vinculat al protocol de seguretat (MS17-010).

Forma de difusió coneguda: el programari malèvol és present en un arxiu annex a l’e-mail que ens arriba. L’usuari carrega l’annex i obre el fitxer que executa el programa Cryptolocker, que xifra les dades de l’ordinador i crea una contrasenya per poder accedir-hi. Aquesta nova versió de Cryptolocker encara va més lluny, ja que té funcions de worm, dropeer (1) que li permeten escanejar la xarxa per trobar escletxes de seguretat, com el SMB v1. Això li permet xifrar automàticament totes les dades compartides en xarxa de tots els ordinadors connectats de la intranet. Té també una funció d’escaneig que li permet analitzar massivament adreces IP d’internet per localitzar i infectar altres ordinadors vulnerables.

Els efectes: el Cryptolocker ens denega l’ús de les nostres dades, inclosos els fitxers compartits en xarxa. A la nostra pantalla apareix un missatge de xantatge i d’amenaça que diu: “Si vostè no paga el rescat per obtenir la contrasenya de desxiframent, els seus fitxers seran destruïts automàticament.” En aquest punt ens envaeix un sentiment de culpabilitat perquè tenim bloquejat l’accés als nostres fitxers i perquè també hem contaminat en bloc tots els ordinadors connectats al nostre. Tot està pensat perquè vostè pagui el rescat i no divulgui el fet que ha caigut en el parany i està en l’origen del problema.

El que ha de fer és informar el seu entorn de l’existència d’aquest atac afegint-se a una acció mundial per parar la propagació d’aquest Cryptolocker.

A causa de l’amplitud mundial de l’atac, Microsoft va reactivar l’actualització automàtica i manual per a tots els sistemes operatius per corregir els errors de seguretat utilitzats per aquest Cryptolocker. Les actualitzacions estan disponibles per a totes les versions de Windows sota la referència KB4012598 (2) (catàleg Windows d’actualitzacions). Per a més informació, Microsoft ha editat un butlletí de seguretat amb la referència MS17-010 (3). Posi al dia els seus sistemes operatius. Així no podrà xifrar més les dades compartides en xarxa.

Accions reactives

· Si pateix un atac, desconnecti immediatament l’ordinador de la xarxa.

· No faci cas de l’amenaça “Si vostè no paga els seus fitxers seran destruïts”.

En el cas que no tingui els coneixements per respondre immediatament al problema, apagui el subministrament elèctric de les màquines infectades. Si l’ordinador està desconnectat el Cryptolocker no pot actuar. El Cryptolocker necessita alimentació elèctrica i temps per xifrar totes les dades, particularment les compartides en xarxa. Referència MS17-010.

· Informi la policia que ha estat víctima d’un ciberatac.

· Alerti el responsable de seguretat (RSSI/OSSI) o el servei informàtic o la persona que vostè consideri més competent per donar-li assistència. Hem d’informar al més aviat possible per evitar danys més importants.

· No pagui mai els rescats, el pagament no garanteix que recuperi les seves dades.

Recomanacions curatives

. No engegui de nou l’ordinador infectat, ja que això permetrà al programari malèvol continuar xifrant les seves dades.

. El seu tècnic procedirà a la desinfecció del sistema informàtic. Salvaguardarà, sobre suports aïllats, la totalitat de les seves dades no xifrades. Prèviament haurà verificat que no estan infectades i les bolcarà en un ordinador segur dedicat a les desinfeccions informàtiques. Gravarà en un altre suport aïllat la totalitat de les dades xifrades i/o identificades com a infectades.

Una solució de desxiframent i/o de reparació podria ser divulgada en breu per la comunitat informàtica mundial, fet que li permetrà recuperar les seves dades en qüestió de temps. Prova d’això és el fet que un jove enginyer anglès de 22 anys, @malwaretechblog, especialitzat en recerca sobre malware, ha aconseguit aturar la propagació d’aquest Cryptolocker viral a internet, en descobrir un kill switch amagat en el codi font (4).

· Un cop verificat que les seves dades no xifrades estan sanes i que s’han duplicat i estan segures, el seu sistema informàtic es pot considerar desinfectat. És important que hagi actualitzat la seguretat del seu sistema informàtic per corregir possibles escletxes de seguretat així com tots els seus programaris d’Office, antivirus i anti-malware.

· Pot consultar el catàleg d’actualitzacions de Microsoft codifica KB4012598 (4). Recomanacions preventives · Limiti l’exposició en compartir fitxers en xarxa i/o internet.

· Creï un compte “usuari” i no utilitzi mai el compte d’administrador si no és per a operacions importants d’instal·lació de noves aplicacions. Això evita la instal·lació automàtica de programaris malèvols quan vostè està en sessió administrador. · Desactivi els serveis SMB (5) en els ordinadors que no l’utilitzin.

· Posi al dia la política del tractament dels arxius i de duplicació de les seves dades en còpies de seguretat. Verifiqui el bon funcionament dels suports per a les còpies de seguretat. Faci còpies seqüencials en el temps per evitar la corrupció de la totalitat dels seus arxius. Prevegi còpies xifrades de les seves dades sensibles sobre un suport extern, amb la finalitat de tenir sempre salvaguardades les dades estratègiques de la seva empresa. Mentre les seves dades estiguin xifrades, sempre tindrà una versió sana disponible. Vagi en compte de no corrompre aquesta versió sana en un ordinador infectat.

· No obri missatges de procedència o continguts dubtosos, ni carregi ni obri els annexos si no coneix la seva procedència. En cas de dubte, per l’inesperat del correu o pel seu contingut, actuï de la mateixa manera. Pensi que els correus electrònics dels seus contactes poden estar infectats.

· Actualitzi regularment els seus sistemes operatius, antivirus, anti-malware, navegadors, programari d’Office, lectors de PDF, etc.

· Desactivi del seu escriptori les macros que li permeten efectuar tasques de manera automàtica.

· Pensi que molta gent treballa per trobar-hi una solució i que només és qüestió de temps. Cal, doncs, ser pacient i saber esperar l’arribada de les solucions. Segueixi les recomanacions de ciberseguretat que li donem en aquest article i participarà en l’acció col·lectiva global de lluita contra els ciberatacs que utilitzen sistemes informàtics vulnerables, com ha estat el recent cas del ransomware viral, amb una afectació a 200.000 usuaris en més de 150 països.

1.    Worm, dropeer: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/.
2.    Actualització  KB4012598: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
3.    MS17-010: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx.
4.    http://www.lemonde.fr/pixels/article/2017/05/14/cyberattaque-comment-un-jeune-anglais-est-devenu-un-heros-accidentel_5127619_4408996.html.
5.    Desactivar SMB: https://support.microsoft.com/fr-fr/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012-