Ransomware van y ransomware vienen: Anubis.

El ransomware es la amenaza de moda. Como ya hemos comentado en artículos anteriores, este tipo de malware infecta los equipos para cifrar los archivos y hacerlos inaccesibles, mostrando un mensaje con una solicitud de rescate.

Ahora entra en el juego ANUBIS, un nuevo ransomware que busca atacar equipos con sistemas operativos Windows empleando el mismo modo de ataque de este tipo de malware. Pero además, Anubis nos trae algo nuevo: “la persistencia”.

Anubis antes de cifrar los archivos y hacerlos inaccesibles cambiando la extensión de los mismos a [anubi@cock.li].anubi, primero busca atacar el registro de Windows para hacerse persistente, es decir, tener la capacidad de ejecutarse cada vez que el equipo se encienda. De esta forma, cada vez que el usuario inicia sesión, el ransomware realiza una comprobación de las unidades de disco conectadas para ver si puede cifrar más archivos.

Algo interesante es que aparentemente el proceso de cifrado de los archivos que aplica este ransomware es bastante lento, lo que da una ventana de tiempo al usuario para poder salvar algunos archivos del equipo infectado.

Un recordatorio de las recomendaciones que podemos seguir en este tipo de casos:

  • No abrir archivos cuya procedencia sean correos electrónicos desconocidos o páginas web cuyo contenido puede ser de legitimidad dudosa.
  • Contar con una solución antivirus y tener los sistemas actualizados es imprescindible.
  • Contemplar qué puertos están abiertos en nuestros sistemas y por qué, especialmente los puertos 135, 139, 445 y 1025–1035 TCP.
  • Deshabilitar las cuentas ADMIN$ por defecto en los sistemas operativos Windows.
  • La red debe estar bien configurada y segmentada.
  • Monitorear constantemente el tráfico para detectar algún tipo de comportamiento fuera de lo normal.
  • Contar con un sistema de backup de la información más relevante y comprobar que funcione.
  • Es primordial llevar una buena gestión de contraseñas, ya que si tan solo una de las máquinas infectadas posee las credenciales de administrador, podría infectar toda la red.