Ransonware
Ransonware
26/2 20:32] Gonzalez Ricardo: Hay uno 360 total security lo saca en conjunto con usb fix
[26/2 20:33] Gonzalez Ricardo: Usa primero el usb fix y despues el otro, no tiene q estar conectado a internet
[26/2 20:33] Gonzalez Ricardo: Usa primero el usb fix y despues el otro, no tiene q estar conectado a internet
Re: Ransonware
Recomendaciones:
Las conexiones al puerto 3389 en horas intempestivas pueden indicar que el autor del
malware tiene presencia en la red local o que en el router principal (el que conecte la red
local con el exterior) tiene redirigido el puerto 3389 desde la interfaz pública a la
máquina que recibía las conexiones (nat). Si es el segundo caso, el Ransom podría
haberse colado por alguna vulnerabilidad en remote desktop o por un password débil en
este servicio. Algunos gusanos también utilizan este servicio para propagarse pero en
este caso parece más bien algo manual. Si no hay puerto redirigido en el router principal
y si descartamos que el atacante pudiera estarse conectando físicamente a la red local
(por una wifi o como sea), esto podría indicar que a parte del ransom otro equipo puede
tener algún troyano instalado. Si se sabe la ip desde la que se hizo la conexión al puerto
3389 de la máquina, esa podría ser la máquina infectada por el troyano.
La recomendación es analizar todos los equipos, tener el software que se utilice
actualizado, tener claves robustas en todos los servicios que tengan activados todos los
equipos (especialmente si tienen salida hacia el exterior), así como en routers, wifis y
demás. Y si es posible hacer backups cada cierto tiempo.
Las conexiones al puerto 3389 en horas intempestivas pueden indicar que el autor del
malware tiene presencia en la red local o que en el router principal (el que conecte la red
local con el exterior) tiene redirigido el puerto 3389 desde la interfaz pública a la
máquina que recibía las conexiones (nat). Si es el segundo caso, el Ransom podría
haberse colado por alguna vulnerabilidad en remote desktop o por un password débil en
este servicio. Algunos gusanos también utilizan este servicio para propagarse pero en
este caso parece más bien algo manual. Si no hay puerto redirigido en el router principal
y si descartamos que el atacante pudiera estarse conectando físicamente a la red local
(por una wifi o como sea), esto podría indicar que a parte del ransom otro equipo puede
tener algún troyano instalado. Si se sabe la ip desde la que se hizo la conexión al puerto
3389 de la máquina, esa podría ser la máquina infectada por el troyano.
La recomendación es analizar todos los equipos, tener el software que se utilice
actualizado, tener claves robustas en todos los servicios que tengan activados todos los
equipos (especialmente si tienen salida hacia el exterior), así como en routers, wifis y
demás. Y si es posible hacer backups cada cierto tiempo.
Permisos de este foro:
No puedes responder a temas en este foro.
|
|