Cómo evitar que el ordenador se infecte con CryptoLocker

Se pueden utilizar los grupos de Windows o el editor de directivas locales para crear directivas de restricción de software que bloquean los ejecutables que se inician cuando se encuentran en rutas específicas. Para obtener más información sobre cómo configurar directivas de restricción de software, consulta estos artículos de MS:

http://support.microsoft.com/kb/310791

http://technet.microsoft.com/en-us/library/cc786941(v=ws.10).aspx

Las rutas de los archivos que han sido utilizados por esta infección son:

C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)

Con el fin de bloquear CryptoLocker podemos crear reglas para las rutas en las que no se permite la ejecución de archivos. Para crear estas directivas de restricción de software, podemos usar la herramienta CryptoPrevent o añadir las políticas de forma manual usando el editor de directivas de seguridad local o el editor de directivas de grupo. Ambos métodos se describen a continuación.

Nota: Si estás utilizando Windows Home o Windows Home Premium, no tendrás disponible el editor de directivas de seguridad local. En lugar de esto se sugiere usar la herramienta CryptoPrevent, que establece automáticamente estas políticas.

CryptoProtect

Cómo usar la herramienta CryptoPrevent:

FoolishIT LLC creó una herramienta gratuita llamada CryptoPrevent que agrega automáticamente las reglas de directiva de restricción de software a las rutas arriba mencionadas en el equipo. Esto hace que sea muy fácil para cualquier persona que utilice Windows XP SP2 y superiores agregar rápidamente las directivas de restricción de software a su equipo con el fin de prevenir que CryptoLocker y Zbot se ejecuten. Esta herramienta también es capaz de establecer estas políticas en todas las versiones de Windows, incluyendo las versiones Home.

Una nueva característica de CryptoPrevent es la opción de añadir a la lista blanca todos los programas existentes en %AppData% y %LocalAppData%. Es una opción útil, ya que nos aseguramos de que las restricciones que se van a aplicar no afectarán a las aplicaciones legítimas que se encuentran ya instaladas en el equipo. Para usar esta función, asegúrate de revisar la opción Whitelist EXEs que ya se encuentran en %appdata% / %localappdata% antes de pulsar el botón Block.

Puedes descargar CryptoPrevent desde el siguiente enlace:

http://www.foolishit.com/download/cryptoprevent/

Para más información sobre el uso de la herramienta, puedes mirar esta página:

http://www.foolishit.com/vb6-projects/cryptoprevent/

Nota: Puedes usar CryptoPrevent de manera gratuita, pero también ofrece una versión de pago que incluye la actualización automática y silenciosa de la aplicación y sus definiciones, alertas de correo electrónico cuando se bloquea una aplicación, y personalización de las políticas de bloqueo para afinar la protección.

Una vez ejecutado el programa, simplemente hacemos clic en el botón Apply Protection para añadir las políticas de restricción de software por defecto a su equipo. Si deseas personalizar la configuración, revisa las casillas de verificación y cámbialas si es necesario. Si CryptoPrevent provoca problemas de ejecución de aplicaciones legítimas, consulta esta sección sobre cómo habilitar aplicaciones específicas. También puedes eliminar las directivas de restricción de software agregadas hacienda clic en el botón Undo.

Cómo crear manualmente las directivas de restricción de software para bloquear CryptoLocker:

Con el fin de crear manualmente las directivas de restricción de software necesitas usar Windows Professional, Bussiness, Enterprise o Ultimate, o Windows Server. Si quieres establecer estas políticas para un determinado equipo puedes usar el editor de directivas de seguridad local. Si vas a aplicar estas políticas para todo un dominio, entonces necesitas utilizar el editor de directivas de grupo. Si eres usuario de Windows Home, el editor de directivas no estará disponible y se deberá usar la herramienta CryptoPrevent. Para abrir el editor de directivas de seguridad local, haz click en el botón Inicio y escribe “Directiva de seguridad local”, para después seleccionar el resultado de la búsqueda que aparece. Para abrir el editor de directivas de grupo, escribe “Directiva de grupo” en su lugar. En esta guía veremos el editor de directivas de seguridad local en los ejemplos.

Una vez abierto el editor de directivas de seguridad local, veremos una pantalla similar a la de abajo.

Una vez la pantalla está abierta, expande Configuración de seguridad y, a continuación haz clic en la sección de directivas de restricción de Software. Si no ves nada en el panel de la derecha (como se muestra arriba), tendrás que añadir una nueva política. Para ello haz clic en el botón Acción y selecciona Nuevas políticas de restricción de Software. Esto habilitará la directiva para que aparezca el panel de la derecha. Después, debes hacer clic en la categoría Reglas adicionales, e ir al panel derecho, donde seleccionaremos Nueva regla de ruta… A continuación, agregamos una regla de ruta para cada uno de los elementos enumerados a continuación.

Si las directivas de restricción de software causan problemas al intentar ejecutar aplicaciones legítimas, mira esta sección sobre cómo habilitar aplicaciones específicas.

A continuación se presentan algunas reglas de ruta que se sugieren, no solo para bloquear las infecciones sin más, si no también para bloquear los archivos adjuntos que se ejecuten al abrir un cliente de correo electrónico.

Block CryptoLocker executable in %AppData%

Ruta: %AppData%\*.exe
Seguridad: Disallowed
Descripción: Don’t allow executables to run from %AppData%.

Block CryptoLocker executable in %LocalAppData%

Ruta en Windows XP: %UserProfile%\Local Settings\*.exe
Ruta en Windows Vista/7/8: %LocalAppData%\*.exe
Seguridad: Disallowed
Descripción: Don’t allow executables to run from %AppData%.

Block Zbot executable in %AppData%

Ruta: %AppData%\*\*.exe
Seguridad: Disallowed
Descripción: Don’t allow executables to run from immediate subfolders of %AppData%.

Block Zbot executable in %LocalAppData%

Ruta en Windows XP: %UserProfile%\Local Settings\*\*.exe
Ruta en Windows Vista/7/8: %LocalAppData%\*\*.exe
Seguridad: Disallowed
Descripción: Don’t allow executables to run from immediate subfolders of %AppData%.

Block executables run from archive attachments opened with WinRAR:

Ruta en Windows XP: %UserProfile%\Local Settings\Temp\Rar*\*.exe
Ruta en Windows Vista/7/8: %LocalAppData%\Temp\Rar*\*.exe
Seguridad: Disallowed
Descripción: Block executables run from archive attachments opened with WinRAR.

Block executables run from archive attachments opened with 7zip:

Ruta en Windows XP: %UserProfile%\Local Settings\Temp\7z*\*.exe
Ruta en Windows Vista/7/8: %LocalAppData%\Temp\7z*\*.exe
Seguridad: Disallowed
Descripción: Block executables run from archive attachments opened with 7zip.

Block executables run from archive attachments opened with WinZip:

Ruta en Windows XP: %UserProfile%\Local Settings\Temp\wz*\*.exe
Ruta en Windows Vista/7/8: %LocalAppData%\Temp\wz*\*.exe
Seguridad: Disallowed
Descripción: Block executables run from archive attachments opened with WinZip.

Block executables run from archive attachments opened using Windows built-in Zip support:

Ruta en Windows XP: %UserProfile%\Local Settings\Temp\*.zip\*.exe
Ruta en Windows Vista/7/8: %LocalAppData%\Temp\*.zip\*.exe
Seguridad: Disallowed
Descripción: Block executables run from archive attachments opened using Windows built-in Zip support.

En la imagen de abajo vemos una entrada de registro alertando que muestra un ejecutable que se ha bloqueado:

Cómo permitir la ejecución de aplicaciones específicas utilizando directivas de restricción de software

Si usas directivas de restricción de software o CryptoPrevent, al bloquear Cryptolocker es posible que algunas aplicaciones legítimas ya no funcionen. Esto se debe a que algunas compañías instalan erróneamente sus aplicaciones bajo los perfiles de los usuarios en lugar de en la carpeta “Archivos de programa” al que pertenecen. Por ello, las directivas de restricción de software evitarán que esas aplicaciones se ejecuten.

Afortunadamente, cuando Microsoft diseñó el software de directivas de restricciones, lo hicieron de manera que se pudiesen crear reglas para permitir programas específicos. Por lo tanto, si una directiva de restricción de software bloquea un programa legítimo, tendrás que hacer unos pasos extra para agregar un regla que permita la ejecución del programa. Crearíamos una regla de ruta para el ejecutable de un programa en concreto y estableceríamos el nivel de seguridad a Unrestricted en vez de Disallowed Como se ve en la imagen de abajo.

Una vez añadida la regla, habremos permitido de nuevo la ejecución de esa aplicación.

Anuncios

Un comentario en “Cómo evitar que el ordenador se infecte con CryptoLocker

Ayúdame a mejorar. Deja un comentario:

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s