elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Escenario Ramsomware
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Escenario Ramsomware  (Leído 3,684 veces)
singlet0n

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Escenario Ramsomware
« en: 27 Octubre 2021, 14:10 pm »

Buen día a todos/as!
Soy Gonzalo, nuevo por aquí. Les comento, recientemente en mi trabajo sufrimos una infección de ramsom y ahora me están pidiendo replicar un escenario para probar la seguridad.
¿Alguien sabe si se consigue alguno a modo de "prueba"? el q infectó nuestra red era de extensión .loffy

Desde ya agradezco tu respuesta, Saludos!


En línea

Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 3.391


Ver Perfil
Re: Escenario Ramsomware
« Respuesta #1 en: 27 Octubre 2021, 14:31 pm »

...sufrimos una infección de ramsom y ahora me están pidiendo replicar un escenario para probar la seguridad.
¿Alguien sabe si se consigue alguno a modo de "prueba"? el q infectó nuestra red era de extensión .loffy
Y cómo sabe nadie si en efecto, tu intención real trata de probar la seguridad y no de hacerse con un programa para gestionar 'maldades' por tu cuenta...?.

Por otro lado, aunque tales programas sean muy similares entre sí, cada cual tendrá funcionalidad específica, luego la seguridad no queda acreditada solo por 'probar uno'.

La parte de la seguridad que sí compete es hacer copias de seguridad con la mayor frecuencia posible (siempre que sea necesaria) y eso es completamente ajeno al ransomware (y es la medida más eficaz).

En cualquier caso, no supone ninguna complicación emularlos... y además sin correr el grave riesgo que supone su residencia. Meramente crea un fichero de texto donde añades la ruta original y el nuevo nombre acuñado al fichero, y con ello se diera como supuesto su cifrado.
El fichero servirá al caso, para hacer la operación inversa (si el contenido es útil y ha de ser devuelto al origen), aunque lo preferible fuera hacer pruebas sobre un equipo que al final sea formateado (por ejemplo virtualizando) y se pierda todo (aislado y sin posibilidad alguna de propagación).


En línea

singlet0n

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Escenario Ramsomware
« Respuesta #2 en: 27 Octubre 2021, 16:41 pm »

En realidad es pedido de uno de mis jefes -_- como siempre con pedidos extraños. La urgencia surgió xq ésta es la 2da vez q se infecta la red y a diferencia de la primera éste ramsom encriptó hasta las copias de seguridad .bak de los servidor, pero no así a la info q se alojaba en nuestro NAS.

Armé un escenario con VMs con su propia subred, encontré un simluador pero no funciona en red, continúo buscando.
En línea

Machacador


Desconectado Desconectado

Mensajes: 5.029


El original...


Ver Perfil WWW
Re: Escenario Ramsomware
« Respuesta #3 en: 27 Octubre 2021, 17:19 pm »

En realidad es pedido de uno de mis jefes -_- como siempre con pedidos extraños. La urgencia surgió xq ésta es la 2da vez q se infecta la red y a diferencia de la primera éste ramsom encriptó hasta las copias de seguridad .bak de los servidor, pero no así a la info q se alojaba en nuestro NAS.

Armé un escenario con VMs con su propia subred, encontré un simluador pero no funciona en red, continúo buscando.

Para evitar ataques de ransomwares puedes agregar un idioma específico a las máquinas como por ejemplo el ruso...

Mira acá: https://blog.elhacker.net/2021/04/rusia-y-su-relacion-conexion-el-ransomware.html

 :rolleyes: :o :rolleyes:
En línea

"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"
el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.637


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Escenario Ramsomware
« Respuesta #4 en: 27 Octubre 2021, 17:39 pm »

Lo normal es que cifren las copias de seguridad de un NAS. Por eso una de las premisas contra el ransmoware es tener copias de seguridad offline

Cada grupo-banda de ransomware funciona diferente, no son todos exactamente iguales, usan técnicas y procedimientos distintos.

La gente de https://vx-underground.org/ han subido muchas muestras reales de ransomware.

https://vxug.fakedoma.in/tmp/
https://vx-underground.org/samples/Families/

Y el grupo de LockBit también, parar comprar la velocidad de cifrado y demás.
RansomwareSamples.7z

No creo que la mejor solución sean probar ransomware en VM, la mitad ni funcionarán cuando detectan que está en en una máquina virtual.

Lo que debes hacer es tomar una serie de medidas:

Medidas prevención para evitar que un ransomware secuestre tu empresa
https://blog.elhacker.net/2021/03/medidas-prevencion-para-evitar-que-un-ransomware-cifre-tu-empresa.html

Desactivar scripts PowerShell a través de GPO para evitar Ransomware
https://blog.elhacker.net/2020/12/deshabilitar-desactivar-scripts-powershell-traves-de-gpo-gpedit.html

Cómo evitar que un ransomware cifre los ficheros en Windows
https://blog.elhacker.net/2016/04/como-evitar-prevenir-que-un-ransomware-cifre-secuestre-los-ficheros-archivos-en-servidor-windows.html
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
sacar contraseña unidad de red conectada? (escenario)
Hacking
Ice_batcH 3 16,356 Último mensaje 14 Enero 2011, 17:26 pm
por y0g-s0th0th
Réplica de escenario en VMware
Hacking
Hits_S 0 1,819 Último mensaje 23 Noviembre 2013, 10:58 am
por Hits_S
CryptoWall, Locky y Cerber; este es el ramsomware más popular. ¿Cómo evitarlo?
Noticias
wolfbcn 0 1,966 Último mensaje 30 Mayo 2016, 22:02 pm
por wolfbcn
Ramsomware
Seguridad
EKF 1 2,024 Último mensaje 1 Junio 2017, 18:04 pm
por LaThortilla (Effort)
[BATCH] [APORTE] Virus . (Te hace pensar que agarraste ramsomware)
Análisis y Diseño de Malware
**Aincrad** 5 3,160 Último mensaje 31 Octubre 2018, 23:59 pm
por **Aincrad**
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines