Archive for 15 abril 2016

el virus que encripta los ficheros : cryptolocker

15/04/2016

aviso-correos-virus-pantalla

El proceso empieza con un correo supuestamente enviado por el servicio
de correos de España que informa de que tenemos un certificado en la
oficina de correos y que para recogerlo hay que descargarse el documento que se adjunta. Ese mensaje de correo  está escrito en español, pero algunas frases tienen una construcción un poco rara, probablemente sea el resultado de un traductor automático. Además el correo viene de una dirección de austria (.at) .

Observando el enlace que supuestamente descarga el documento vemos que está personalizado y cuyo identificador es la dirección de correo electrónico propio, puesto que cada intento de encriptación  la hacen con una clave diferente, ya que si no bastaría una clave para todas las encriptaciones y por tanto para todas las desencriptaciones.

Así que sí está personalizado, porque tienen que anotar que tal máquina fue encriptada con tal clave, para su recuperación posterior.
aviso-correos-virus-pantalla2
Ese enlace nos lleva a una página que aparentemente es de correos, pero que también es falsa.
Su url es  hbtk.correos-envio24.com (que ahora los navegaodres ya la marcan  como página peligrosa) , y algunos enlaces que tienen incluso saltan a la página auténtica de correos.

proceso-fichero-explorer
Al descargarse el fichero aparece un zip que al descomprimir genera una falsa carpeta, que en realidad es un fichero ejecutable, de modo que al darle a la carpeta (falsa) para abrirla, se ejecuta el fichero y ya empieza a encriptar los directorios de los usuarios.
pantalla-maquina-crypto1
aunque el proceso se puede parar y se puede eliminar el fichero, los ficheros ya están encriptados.

datos-encriptados

¿Lo detectan los antivirus ? Lo más probable es que no.

Hoy hay técnicas para colar un virus ya conocido a los antivirus. Se trata de crear un nuevo fichero que contiene la parte activa del virus pero añadiendo más instrucciones que despistan a los antivirus.

Incluso hay herramientas para hacer eso, se llaman técnicas de evasión de los antivirus.

En las conferencias GsickMinds de A Coruña hubo una charla sobre esas técnicas, podéis ver en esta entrada alguna de esas técnicas.

Así se puede obtener virus nuevos que los antivirus van a tardar un poco -algunos días- en incorporarlos.

Y si ya están los archivos encriptados . . .  ¿ qué se puede hacer ?

 

  •  – pagar  (?) .  No es muy recomendable. Parece que sí te envían un sistema para desencriptar, pero, . . . vamos cualquiera se fía. Puede que no lo envíen y te quedas sin datos y sin dinero.
  • – restaurar el sistema. Restaurar el sistema y  los datos desde las copias de seguridad. Aquí se ve que tener una buena política de copias de seguridad es muy importante.
  •  – instruir al personal de la empresa para que sepan distinguir estos casos de correos falsos.
  • – denuncia  en la policía.

El sistema de encriptado es muy robusto y es muy difícil o imposible  ( en un tiempo razonable -días- ) reventarlo. Algunas casas de antivirus ofrecen algunas soluciones , habría que ver hasta que punto solucionan el problema.

http://guiasvarias.com/cryptolocker-virus-correos-solucion-eliminar-desencriptar/

Podéis ver que este virus lleva atacando máquinas desde 2014, sigue activo con distintas variantes, y aún seguirá, por lo que es muy importante tener una cierta base informática para no picar.

Anuncios

metadatos

09/04/2016

focaypinguinos 023

Metadatos (o metadata) son datos incorporados a los documentos que añaden información sobre esos documentos, como fecha de creación, con qué dispositivo o software se creó el documento, quién lo creó, etc.

En el caso de fotografías los metadatos tienen un nombre concreto: EXIF.

Hay muchos programas que permiten ver los EXIF de una foto, también webs que permiten enviar una foto (si enviáis una foto se la quedan ?) y muestra los metadatos online.

en este blog  tienen varias referencias.

Enviando una foto a  exifdata.com  tenemos el siguiente resultado.

focaypinguinos-exifdata

Eleven Paths  tiene una herramienta llamada FOCA para analizar los metadatos de los documentos que están en las webs; documentos hechos públicos por el organismo o la empresa que tiene esa web. FOCA se puede descargar ahora de elevenpaths

Esa técnica se llama hacer pentesting o test de penetración, que consiste en buscar información de la red de una empresa en los documentos que cuelga en internet para luego intentar acceder a ella con técnicas de hacking.

Hay muchos video de Chema Alonso presentando la FOCA,. Algunos son en la DEFCON (Las Vegas, USA)  analizando las webs del FBI y la Casablanca. Son divertidos, podéis buscarlos en youtube.

En clase vimos este otro

 

 

parámetros en los discos SMART

09/04/2016

2001_escenario

Para intentar detectar fallos en los discos antes de que sucedan, los discos SMART se autotestean y anotan los valores de una serie de parámetros. Cuando alguno de esos valores está por encima de un umbral que se supone que marca el nivel de confianza en el funcionamiento, el disco avisa a la BIOS en el arranque del ordenador y la BIOS lanza una pantalla de aviso indicando que el disco puede fallar y que es mejor que se cambie.
(todo esto a mí me recuerda la película “2001 una odisea del espacio” cuando HAL avisa que una antena va a fallar -la foto es de uno de los escenarios del rodaje de la película- )

de la wikipedia
La tecnología S.M.A.R.T. (siglas de Self Monitoring Analysis and Reporting Technology), consiste en la capacidad de detección de fallos del disco duro. La detección con anticipación de los fallos en la superficie permite al usuario el poder realizar una copia de su contenido, o reemplazar el disco, antes de que se produzca una pérdida de datos irrecuperable.

aquí se detallan los parámetros que se testean  (en inglés)

Para ver esos parámetros se pueden utilizar programas como HDtune para windows o en Linux con la herramienta de discos

linux_discos_smart

También en los discos SSD (que en realidad no son discos, son chips) tienen parámetros para comprobar su  funcionamiento, son SMART.

Intel tiene una herramienta para comprobar el funcionamiento, descargable aquí

 

NAS

09/04/2016

nas02
de la wikipedia  . . .

El almacenamiento conectado en red, Network Attached Storage (NAS), es el nombre dado a una tecnología de almacenamiento dedicada a compartir la capacidad de almacenamiento de un computador (servidor) con computadoras personales o servidores clientes a través de una red (normalmente TCP/IP), haciendo uso de un sistema operativo optimizado para dar acceso con los protocolos CIFS, NFS, FTP o TFTP.

Muchos sistemas NAS cuentan con uno o más dispositivos de almacenamiento para incrementar su capacidad total. Frecuentemente, estos dispositivos están dispuestos en RAID (Redundant Arrays of Independent Disks) o contenedores de almacenamiento redundante.

8 usos de un NAS de oficina