Base de Conocimiento
Maneras de proteger sus equipos de Petya Ransomware
Escrito por Angela Ruda Morales en 14 August 2017 03:08 PM

Algunas recomendaciones de CERT para proteger mejor sus computadoras de ser infectadas por Petya Ransomware:

 

Con el fin de prevenir la infección, se recomienda a los usuarios y organizaciones aplicar parches a los sistemas Windows como se menciona en el boletín de seguridad de Microsoft MS17-010.

Https://technet.microsoft.com/library/security/MS17-010

Realizar copias de seguridad periódicas de toda la información crítica para limitar el impacto de los datos o la pérdida del sistema y para ayudar a acelerar el proceso de recuperación. Idealmente, estos datos deben mantenerse en un dispositivo separado, y las copias de seguridad deben almacenarse sin conexión.

Bloquear puertos SMB en dispositivos de red Edge perimetral / Enterprise [UDP 137, 138 y TCP 139, 445] o Deshabilitar SMBv1.

Https://support.microsoft.com/en-us/help/2696547

Políticas de Applocker para bloquear la ejecución de archivos que tengan el nombre perfc.dat así como la utilidad psexec.exe de sysinternals.

Una solución rápida para evitar que ya existan los archivos ( perfc , perfc.dll y perfc.dat) en la máquina Windows , bajo C: \ Windows, con permisos READONLY.

Una breve descripción está aquí: Https://www.bleepingcomputer.com/news/security/vaccine-not-killswitch-found-for-petya-notpetya-ransomware-outbreak/

Yara Reglas para las detecciones Petya se puede ver aquí [ kaspersky.yara ] y aquí [ florian.yara ]

No abra los archivos adjuntos en correos electrónicos no solicitados , aunque sean de personas de su lista de contactos, y nunca haga clic en una dirección URL contenida en un correo electrónico no solicitado, aunque el vínculo parezca benigno. En casos de URL auténticas, cierre el correo electrónico y vaya al sitio web de la organización directamente a través del navegador.

Restringir la ejecución de powershell / WSCRIPT / PSEXEC / WMIC en entorno empresarial Garantizar la instalación y el uso de la última versión (actualmente v5.0) de PowerShell, con habilitado el registro avanzado. Registro de bloque de secuencia de comandos y transcripción activada. Envíe los registros asociados a un repositorio de registros centralizado para monitoreo y análisis.

Establezca un marco de directivas de remitente (SPF), informes y conformidad de autenticación de mensajes de dominio (DMARC) y DomainKeys identificado de correo (DKIM) para su dominio, que es un sistema de validación de correo electrónico diseñado para evitar el spam mediante la detección de spoofing de correo electrónico mediante el cual la mayoría de ransomware Las muestras llegan con éxito a las casillas de correo electrónico corporativo.

Aplicación de listas blancas / Aplicación estricta de las directivas de restricción de software (SRP) para bloquear los archivos binarios que se ejecutan desde las rutas% APPDATA%,% PROGRAMDATA% y% TEMP%. La muestra de Ransomware se cae y se ejecuta generalmente desde estas ubicaciones. Haga cumplir la lista blanca de aplicaciones en todas las estaciones de trabajo de punto final.

Implementar filtros web y de correo electrónico en la red . Configure estos dispositivos para buscar dominios, fuentes y direcciones mal conocidos; Bloquearlos antes de recibir y descargar mensajes. Analiza todos los correos electrónicos, archivos adjuntos y descargas tanto en el host como en la puerta de enlace de correo con una solución antivirus de buena reputación.

Deshabilitar macros en productos de Microsoft Office. Algunos productos de Office permiten la desactivación de macros que se originan desde fuera de una organización y pueden proporcionar un enfoque híbrido cuando la organización depende del uso legítimo de macros. Para Windows, las configuraciones específicas pueden bloquear las macros que se originan desde Internet.

Configure los controles de acceso, incluidos los permisos de archivos, directorios y compartición de red, teniendo en cuenta los privilegios mínimos. Si un usuario sólo necesita leer archivos específicos, no debería tener acceso de escritura a esos archivos, directorios o recursos compartidos.

Deshabilite Conexiones de Escritorio remoto , emplee cuentas menos privilegiadas.

 

Fuente  https://uniquelytoronto.com/2017/06/29/ways-to-protect-your-computers-from-petya-ransomware/

 

(0 votes)
El artículo fue de ayuda
El artículo no fue de ayuda

Comentarios (0)
Ingresar nuevo comentario
 
 
Nombre Completo:
Email:
Comentario:
Sistema de Soporte de ColombiaHosting