ALERTA DE SEGURIDAD> Nueva variante de Ransomware SAMAS

  • 13
  • 16 agosto, 2018

SAMSA RANSOMWARE2

RESUMEN

Ransomware-SAMAS es una conocida familia de ransomware cuya veta más destructiva fue renombrada a inicios de año, SAMAS cifra ciertos tipos de archivos y exige al usuario comprometido pagar al atacante un rescate para descifrar esos archivos.

Los atacantes obtienen acceso a un servidor externo de la organización y realizan un reconocimiento de los puntos finales en la red usando Microsoft Active Directory (csdv.exe).

Esta nueva variante contiene líneas de comandos vssadmin en el script.  Los key files generalmente siguen la nomenclatura: _PublicKey.keyxml. Estos key files se utilizan como argumento para el binario de cifrado principal samsam.exe, que lee las key files “.keyxml” y comienza el cifrado de las extensiones de archivos predefinidas.

Los atacantes también ejecutan otro script (generalmente llamado re1.bat) para eliminar los archivos de copia de seguridad presentes en los sistemas de punto final

MITIGACIÓN

Recomendamos:

  • Ningún equipo debe estar por debajo de las firmas: DAT 8976 y AMCORE 3427
  • Genere las reglas en VSE y ENS. Consulte los siguientes artículos para configurar las reglas de Protección de acceso en VirusScan Enterprise: KB81095 y Cómo crear una regla de protección de acceso definida por el usuario desde una consola VSE 8.x o ePO 5.x  KB54812
  • Los archivos adjuntos de e-mails externos deben escanearse primero con un antimalware y, si es necesario, eliminarse sin abrirlos.
  • Nunca haga clic en enlaces en correos electrónicos sin verificar la URL.
  • No abra archivos adjuntos de documentos de Office a menos que se lo solicite específicamente al remitente. Vea el asunto del correo electrónico o envíe un correo electrónico por separado para validar al remitente antes de abrir los archivos adjuntos.
  • Deshabilite los Macros en las aplicaciones de Microsoft Office.
  • Los usuarios finales deben hacer una copia de seguridad de los datos comerciales en las carpetas compartidas de la organización. Los datos que residen en los dispositivos del usuario se pueden perder de forma permanente en el caso de una infección de ransomware.
  • Reporte correos electrónicos sospechosos al equipo de seguridad.

 

Más información y consultas: expertos@ransecurity.com

Leave a Reply

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764