Prevención contra CTB-Locker y otros Crypto malware con Symantec Endpoint

Cada día se popularizan más los virus que encriptan los datos y para poder recuperar los datos piden un rescate económico. Vamos, un secuestro en toda regla.

Uno de los más conocidos fue el del virus de la Policía Española, el cual infectó miles de máquinas y en la que muchos usuarios pagaron alrededor de 100€ o perdieron todos sus datos por quedar cifrados.

Nuevas variantes han ido saliendo, uno de los más actuales el CTB-Locker.

Este tipo de virus muchas veces también se puede infectar uno a través de webs de dudoso contenido, que aprovechan vulnerabilidades de los sistemas operativos no actualizados o software de terceros.

your-personal-files-are-encrypted[1]

Para no caer en la trampa ya sea con este virus o cualquier otro hay unas reglas preventivas que siempre se han de tomar.

  • No clickar en links de e-mails sospechosos o introducir datos en webs de dudosa reputación.
  • Ser precavidos a la hora de abrir adjuntos de e-mails.
  • Mantener los sistemas operativos, antivirus y software de terceros al día.
  • Realizar regularmente copias de seguridad de los datos importantes para evitar consecuencias mayores.

A continuación vamos a ver como aplicar una política en Symantec Endopoint Protection, para que los clientes no puedan descargar este tipo de malware por diferentes procesos.

  1. Nos logamos en la consola de Symantec Endpoint Protection Manager (SEPM).
  2. Clickamos en Políticas
  3. Luego clickamos en Control de dispositivos y aplicaciones
  4. En la parte inferior, en Tareas clickamos sobre Agregar una política de control de aplicaciones y dispositivos
  5. Después de clickar nos aparecerá una ventana nueva, nos dirigimos al menú Control de Aplicaciones y le damos a Agregar.
  6. Nos aparecerá otra ventana nueva en la que crearemos una nueva regla.
  7. Escribimos un nombre para la regla. Luego sobre Aplicar esta regla a los siguientes procesos: le damos al botón agregar y agregamos iexplore.exe y outlook.com. Podemos poner más procesos como por ejemplo la de otros navegadores que se puedan utilizar.
  8. Luego de introducir estos datos, en la columna de la izquierda le damos al botón agregar.
  9. Nos aparecerá otra pantalla donde agregaremos las extensiones *.scr y *.exe
  10. Siguiente paso clickamos en la pestaña Acciones y marcamos Bloquear Acceso en ambas columnas. Y luego Aceptamos.

    Cabe la opción de poder notificar al usuario de dicho bloqueo.
  11. Una vez finalizado le damos al botón Aceptar y saldremos a el listado de Control de aplicaciones y podremos ver activa nuestra política creada. Marcamos la política en Producción para dejarla activa.
  12. Aceptamos nuevamamente y esperamos que se apliquen las políticas en los clientes correspondientes.