ProtegindosecontraRansomware

ComoproporcionarotracapadeDefensa
Cryptobasadoenransomwarecontinareinventndoseasmismoconelfindesituarseatravsdelasdefensasdeseguridad.Lasnuevas
variantessepruebancontralosproveedoresdeseguridadconelfindeevitarladeteccin.Mientrasquealgunossevuelvenmenosactivas
enmomentoscomocryptolockeroCTBLocker,otrosgananterrenocomoTeslacryptoCryptoWall.Esnecesariaunasupervisina
prevalecerantelasnuevasvariantesquesevensurgirconcomportamientossimilares.

Estedocumentotieneporobjetoproporcionarotracapadedefensacontraunaltamenteprofesionalizado,confinesdelucrolaindustria
delmalwarequeestconstantementeinnovandoytratandodeeludirseaconocidamedidasdeseguridadoexplotarsistemasnoseguros
onoactualizados.Mediantelaidentificacindepatronessimilaresdecomportamientodentrodelasdiferentesvarianteshemosllegado
conalgunasreglasproactivasparalosproductosfinales:VirusScanEnterprise(VSE)yHostIntrusionPrevention(HIP).Estasreglastienen
porobjetoprevenirdemaneraefectivalainstalaciny/olacargatildehistrica,actualylaevolucindenuevasvariantesdetodas
estasamenazas.

Tengaencuentaquelasreglassugeridasenestedocumentoparaunavarianteparticularnoproporcionanproteccinparaotrasvariantes
anteriores/salvoindicacinencontraria,yestndestinadasaseraplicadasdemaneraacumulativa.

Latcnicadecifradoutilizadaenlacargatilhacequelarecuperacindelosarchivoscifradosseaimposibleyaqueunavezejecutadala
claveprivadanecesariasloestdisponibleparaelautor.

ElusodereglasHIPquesedetallanenlosvdeosprcticayseccindeabajohandemostradosermuyeficacesparadetenertodaslas
variantesactualesynuevasdeestasamenazas.Recomendamosqueestosseanrevisados,probadoseimplantados.

Antesdeimplementarestasrecomendaciones,esesencialquelasnormassepruebenafondoparagarantizarsuintegridadytambinde
queningunaaplicacinlegtima,dedesarrollopropioocualquierotra,seconsideremaliciosaysebloqueesufuncionamientoenel
entornodeproduccin.

Paraunacoberturaenprofundidaddelasdiferentesvariantescryptolocker,sntomas,vectoresdeataque,ytcnicasdeprevencinrevise
lossiguientesvdeos:
1. CryptolockerMalwareSessionhere
2.

CryptolockerUpdatehere

EldocumentoQ&AcorrespondealaSesinmalwarecryptolockerysepuedeencontraraqui

ProteccindeAccesoVSEyEndPointSecurity
Lasreglassugeridasenestaseccinsepuedenajustarenelmodode"sloreporte"parapropsitosdepruebaconelfindecomprobarsi
causanningnconflictoensuentorno.Unavezquesedeterminaquenovanabloquearcualquieractividaddeaplicacioneslegtimas,se
puedeestablecerparabloquearyaplicarestaconfiguracinatodoslossistemasrelevantes.

Lospasosenreglasdeproteccindeaccesosugeridastendrnqueserajustadocuandoelidiomadelsistemaoperativoesdiferentede
Inglsalasubicacionescorrespondienteseneseidioma.

Retractacion:
El uso de *. * En una regla de proteccin de acceso evitara todos los tipos de archivos que se ejecuten y que se tiene acceso desde
un lugar determinado. De especificar una ruta de proceso bajo "Procesos para incluir", el uso de comodines para Nombres de
carpetas puede llevar a un comportamiento inesperado. Se solicita a los usuarios para que esta regla lo ms especfico posible.
Parafinesdereferenciaporfavorreviselossiguientesartculosdelabasedeconocimientosparaconfigurarlasreglasde
proteccindeaccesodeVirusScanEnterprise:
KB81095HowtocreateauserdefinedAccessProtectionRulefromaVSE8.xorePO5.xconsole
KB54812HowtousewildcardswhencreatingexclusionsinVirusScanEnterprise8.x

Cryptolocker v.I

EstassonlasreglasdeproteccindeaccesoquesepuedenconfigurarenVSEparadetenerlainstalacinylacargatildeestavarianteen
suentorno.
Regla#
1
2
3

Acciones
Procesosqueseincluyen
ArchivoocarpetaaBloquear
Procesosqueseincluyen
ArchivoocarpetaaBloquear
Procesosqueseincluyen
bloqueodelRegistro(HKCU)

Windows7
*
**\Users\*\AppData\*.exe1
**\Users\*\AppData\Roaming\*.exe1
*.tmp.*
*
Software/CryptoLocker*

WindowsXPusa:*\DocumentsandSettings\*\ApplicationData\*.exe

Accionesdelarchivoparaprevenir
Archivoscreados,
Archivosenejecucion
archivosquesecrean
Crearllaveovalor

Cryptolocker v.II

LasreglasVSEdeproteccindeaccesonopuedeninfluirenlacargatildeestavariante.

Cryptolocker v.III
Regla#
1

Acciones
Procesosqueseincluyen
ArchivoocarpetaaBloquear

WindowsXPusa:*\DocumentsandSettings\*\ApplicationData\*.exe

Windows7
**\Users\*\AppData\Roaming\*.exe1
*.*.cry

Accionesdelarchivoparaprevenir
Archivoscreados,Archivosen
ejecucion

Cryptolocker v.IV
Lassiguientesreglasdeproteccindeaccesosepuedenconfigurarparaevitarquelasfasesdeinstalacinycifrado.

VirusScan Enterprise

Rule #

3
1

Action
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block

Windows 6.x

File Actions to Prevent

New Files being created

Files being executed

*
*decrypt_instruction*.*

*\Users\*\AppData\Roaming\*.exe
*.*.encrypted

New files being created

*
*\Users\*\AppData\Roaming\*.exe

Write access to files

1

Windows XP use: *\Documents and Settings\*\Application Data\*.exe

Endpoint Security

Rule #

3
1

Action
SubRule Type: Files
Executables [Include]
SubRule [Include]
SubRule Type: Files
Executables [Include]
SubRule [Include]
SubRule Type: Files
Executables [Include]
SubRule [Include]

Windows 6.x

Operations

Create
Execute

*
*decrypt_instruction*.*

*\Users\*\AppData\Roaming\*.exe
*.*.encrypted

Create

*
*\Users\*\AppData\Roaming\*.exe

Windows XP use: *\Documents and Settings\*\Application Data\*.exe

Write
1

CryptoWall

Lainfeccinpuedesercausadaporexplorer.exesiendoinyectadadesdelacargatil,queasuvezenumeraeinyectasvchost.exe.A
continuacin,larutinaparallamarainicioyempezarlarutinadecifradoseinvoca.Estareglaserayudarainterrumpireste
patrn:

VirusScan Enterprise

Rule #

Action
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block

Windows

File Actions to Prevent

explorer.exe
svchost.exe

Files being executed

Endpoint Security

Rule #

Action
SubRule Type: Files
Executables [Include]
SubRule [Include]

Windows

Operations

explorer.exe
svchost.exe

Execute

In order to stop the re-start mechanism:

VirusScan Enterprise

Rule #

Action
Registry Blocking Rule
Processes to include
Value to Block (HKALL)

Windows

File Actions to Prevent

explorer.exe
Software/Microsoft/Windows/CurrentVersion/Run

Write to Key or Value

Endpoint Security

Rule #

Action
SubRule Type: Registry Value
Executables [Include]
SubRule Value [Include]

Windows

Operations

explorer.exe
*/Software/Microsoft/Windows/CurrentVersion/Run

Write

TeslaCryptv.I/v.II
Estaamenazasegrabaasmismaeneldirectoriodedatosdeaplicacindelusuario.Alimpedirlacargatildela
escrituraaestedirectorioestasemantieneenunbucleinfinitodeintentarescribirelarchivo.Elmecanismode
reinicionoseintroducelaprevencindelaamenazadesobreviviraunreinicio.
reglasugeridaparalograresto:

Regla#
1

Acciones
Procesosqueseincluyen
Omsgranular
ArchivoocarpetaaBloquear

Windows
*
**\Temp*
**\User\*\AppData\Roaming\*.exe1

WindowsXPusa:*\DocumentsandSettings\*\ApplicationData\*.exe

Teslacrypt v.III

Reglas VSE de proteccin de acceso no pueden influir en la carga til de esta variante.

Accionesdelarchivoparaprevenir
archivoscreados,Archivosen
ejecucin

Teslacrypt v.IV
Esta amenaza escribe al directorio de documentos del usuario. Al impedir que el ejecutable de la escritura a la
creacin o nada en
el sistema, el programa malicioso no ser capaz de cifrar los archivos del usuario. regla sugerida para lograr esto:

VirusScan Enterprise

Rule #

1
1

Action
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block

Windows 6.x

File Actions to Prevent

*\Users\*\Documents\*.exe
*

Write access to files

New files being created

Windows XP use: *\Documents and Settings\*\My Documents\*.exe

Endpoint Security

Rule #

1
1

Action
SubRule Type: Files
Executables [Include]
SubRule [Include]

Windows 6.x

Operations

*\Users\*\Documents\*.exe
*

Create

Windows XP use: *\Documents and Settings\*\My Documents\*.exe

Locky v.I

EstointentacrearunaclavedelregistroHKCU.Alimpedirquelacargatildelacreacindelaclave,el
malwareseejecutecmd.exe/Cdel/Q/F<payload>.Elmecanismodereinicionoseintroducela
prevencindelaamenazadesobreviviraunreinicio.reglasugeridaparalograresto:

Regla

Accion
Regladebloqueoderegistro
Procesosqueseincluyen
Llavesabloquear

Windows

Accionesdelarchivoparaprevenir

Crearllaveovalor

*
[HKCU] /Software/Locky

Locky v.II

VirusScan Enterprise

Rule #

Action
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block

Windows 6.x

File Actions to Prevent

*
*.locky

New files being created

Endpoint Security

Rule #

Action
SubRule Type: Files
Executables [Include]
SubRule [Include]

Windows 6.x

Operations

*
*.locky

Create

NanoLocker

Estointentaalmacenarlarutacompletadetodoslosdocumentoscifradosenunarchivodetextollamado
lansrv.iniencuentraen"%USERPROFILE%\AppData\Local".Sinopuedecrearestearchivo,seabortala
ejecucinsinencriptarcualquierarchivoysinreplicar.
reglasugeridaparalograresto:

VirusScan Enterprise

Rule #

1
1

Action
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block

Windows 6.x

File Actions to Prevent

*
*\Users\*\AppData\Local\lansrv.ini

New files being created

1

Windows XP use: *\Documents and Settings\*\Local Settings\Application Data\lansrv.ini

Endpoint Security

Rule #

1
2

Action
SubRule Type: Files
Executables [Include]
SubRule [Include]

Windows 6.x

Operations

*
*\Users\*\AppData\Local\lansrv.ini

Create
1

Windows XP use: *\Documents and Settings\*\Local Settings\Application Data\lansrv.ini

Petya

LasreglasVSEdeproteccindeaccesonopuedeninfluirenlacargatildeestavariante.

Normasdeproteccindeaccesoligeramenteagresivosgenricos

Lassiguientesreglaspuedenusarseparapreveniralgunasvariantesadicionales.Serecomiendarealizar
pruebascuidadosasparaasegurarexcepcionesseincorporanantesdelaimplementacinenun
entornodeproduccin.Apesardequepuedesermuyeficazenelbloqueodeestasamenazas,sinose
haconfiguradocorrectamente,puedentenerunimpactoenlosnegociosmedianteelbloqueode
comportamientosdelasaplicacioneslegtimas.

VirusScan Enterprise

Rule #

Action
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block
File/Folder Blocking Rule
Processes to include
File or Folder Name to Block

Windows 6.x

File Actions to Prevent

*
*\Users\*\AppData\*\*.exe

New files being created

Files being executed

*
*\Users\*\AppData\*\*.scr

Files being executed

2

iexplore.exe
*\Users\*\AppData\Local\Temp\*.tmp

New files being created

3

?SCRIPT.EXE
*\Users\*\AppData\Local\temp\*.exe
*
*\Users\*\AppData\*.exe

New files being created

4

New files being created

Files being executed

*\Users\*\AppData\Roaming\*.exe
*.tmp.*

New files being created

*
*\Users\*\AppData\Roaming\*.exe

Write access to files

1

Windows XP use: *\Documents and Settings\*\Application Data\*\*.exe

Windows XP use: *\Documents and Settings\*\Application Data\*\*.scr

Windows XP use: *\Documents and Settings\*\Local Settings\Temp\*.tmp

Windows XP use: *\Documents and Settings\*\Local Settings\Temp\*.exe

Endpoint Security
Rule #

Action
SubRule Type: Files
Executables [Include]
SubRule [Include]
SubRule Type: Files
Executables [Include]
SubRule [Include]
SubRule Type: Files
Executables [Include]
SubRule [Include]
SubRule Type: Files
Executables [Include]
SubRule [Include]
SubRule Type: Files
Executables [Include]
SubRule [Include]
SubRule Type: Files
Executables [Include]
SubRule [Include]
SubRule Type: Files
Executables [Include]
SubRule [Include]

Windows 6.x

*
*\Users\*\AppData\*\*.exe

Execute
2

iexplore.exe
*\Users\*\AppData\Local\Temp\*.tmp

Create
3

?SCRIPT.EXE
*\Users\*\AppData\Local\temp\*.exe
*
*\Users\*\AppData\*.exe

Create
4

Create
Execute

*\Users\*\AppData\Roaming\*.exe
*.tmp.*

Create

*
*\Users\*\AppData\Roaming\*.exe

Windows XP use: *\Documents and Settings\*\Application Data\*\*.exe

Windows XP use: *\Documents and Settings\*\Application Data\*\*.scr

Windows XP use: *\Documents and Settings\*\Local Settings\Temp\*.tmp

Windows XP use: *\Documents and Settings\*\Local Settings\Temp\*.exe

Create
Execute

*
*\Users\*\AppData\*\*.scr

Operations

Write
1

Reglasparaayudaralossistemasdevaquehansidoafectadasporestasamenazas

Algunasreglastambinsepuedenponerenmarchaparaayudaraidentificarlossistemasafectadosporesta
amenaza.Estasreglassonparaefectosdeinformacin/seguimientoynoprevendrnlainfeccinoelcifradose
llevaraacabo.
VirusScan Enterprise

Rule #

Action
File/Folder Blocking Rule
Processes to Include
File or Folder Name to Block

Windows
*
*HELP_DECRYPT.HTML
*HELP_DECRYPT.TXT

*
*Howto_RESTORE_FILES.BMP
*Howto_RESTORE_FILES.HTML

*
*HELP_YOUR_FILES.HTML
*HELP_YOUR_FILES.TXT
*HELP_YOUR_FILES.PNG

New files being created

New files being created

File/Folder Blocking Rule

Processes to Include
File or Folder Name to Block

File/Folder Blocking Rule

Processes to Include
File or Folder Name to Block

File Actions to Prevent

New files being created

File/Folder Blocking Rule

Processes to include
File or Folder Name to Block

New Files being created

Files being executed

*
*decrypt_instruction*.*

Endpoint Security

Rule #

Action
SubRule Type: Files
Executables [Include]
SubRule [Include]

Windows
*
*HELP_DECRYPT.HTML
*HELP_DECRYPT.TXT

Create

SubRule Type: Files

Executables [Include]
SubRule [Include]

*
*Howto_RESTORE_FILES.BMP
*Howto_RESTORE_FILES.HTML

Create

SubRule Type: Files

Executables [Include]
SubRule [Include]

SubRule Type: Files

Executables [Include]
SubRule [Include]

Operations

*
*HELP_YOUR_FILES.HTML
*HELP_YOUR_FILES.TXT
*HELP_YOUR_FILES.PNG

Create

*
*decrypt_instruction*.*

Create

FirmasdeprevenciondeintrusiondeHost
Porfavorasegresedeplanificaryconfigurarlasaplicacionesdeconfianzaounalistadeexclusinparaevitar
falsasdeteccionesensuentorno.Hemoscreadounvideoquemuestracmoconfigurarlasreglasquese
describenacontinuacinenHIP.RecomendamosverestoyutilizarelarchivoTXTactualizadoenelsiguiente
enlaceconlaregladeHIP.

Asegresedequeestasreglassonexaminadasensusentornosdeproduccinaisladosdesusnegociosantesde
unadistribucinmsampliaensured.

Tambinsepuedeveraqu:https://community.mcafee.com/videos/1859

SeadjuntaunarchivodetextoconelartculoHIPactualizadoparacubrirtodaslasversionesactualesy
cryptolockerCryptoWallsepuededescargardesdelacomunidad
https://community.mcafee.com/docs/DOC6553

HabilitarFirma3894,ProteccindeaccesoPrevenirsvchostejecutararchivosejecutablesquenosean
Windows.***NOTA:Lafirmaestdesactivadopordefectoporloquetendrqueserhabilitado.
CryptoWall
Firmas HIP 6010 y 6011 bloquean la inyeccin inmediatamente. Asegurese de que estn habilitadas.
Extenciones de Objetivos
3DM, 3DS, 3G2, 3GP, 7Z, AB4, ACCDB, ACCDE, ACCDR, ACCDT, ACH, ACR, ACT, ADB, ADS, AI, AIT, AL, APJ, ARW, ASF, ASM,
ASP, ASX, AVI, BACK, BACKUP, BAK, BANK, BAY, BDB, BGT, BIK, BKF, BKP, BLEND, BPW, C, CDB, CDF, CDR, CDX, CE1, CE2,
CER, CFP, CGM, CLASS, CLS, CMT, CNV, CPI, CPP, CR2, CRAW, CRT, CRW, CS, CSH, CSL, CSV, DAC, DB, DB3, DBF, DBR, DBS,
DC2, DCR, DCS, DCX, DDD, DDOC, DDS, DER, DES, DESIGN, DGC, DJVU, DNG, DOC, DOCM, DOCX, DOT, DOTM, DOTX, DRF,
DRW, DTD, DWG, DXB, DXF, DXG, EBD, EDB, EML, EPS, ERF, EXF, FDB, FFD, FFF, FH, FHD, FLA, FLAC, FLV, FM, FP7, FPX, FXG,
GDB, GRAY, GREY, GRW, GRY, H, HBK, HPP, IBD, IDX, IIF, INDD, JAVA, JPE, JPEG, JPG, KDBX, KDC, KEY, LACCDB, LUA, M,
M4V, MAF, MAM, MAQ, MAR, MAW, MAX, MDB, MDC, MDE, MDF, MDT, MEF, MFW, MMW, MOS, MOV, MP3, MP4, MPG, MPP,
MRW, MSO, MYD, NDD, NEF, NK2, NRW, NS2, NS3, NS4, NSD, NSF, NSG, NSH, NWB, NX1, NX2, NYF, OBJ, ODB, ODC, ODF,
ODG, ODM, ODP, ODS, ODT, OIL, ONE, ORF, OTG, OTH, OTP, OTS, OTT, P12, P7B, P7C, PAGES, PAS, PAT, PBO, PCD, PCT,
PDB, PDD, PDF, PEF, PEM, PFX, PHP, PIP, PL, PLC, POT, POTM, POTX, PPAM, PPS, PPSM, PPSX, PPT, PPTM, PPTX, PRF, PS,
PSAFE3, PSD, PSPIMAGE, PTX, PUB, PUZ, PY, QBA, QBB, QBM, QBW, QBX, R3D, RAF, RAR, RAT, RAW, RDB, RM, RTF, RWZ,
SAS7BDAT, SAY, SD0, SDA, SDF, SNP, SQL, SR2, SRF, SRT, SRW, ST4, ST5, ST6, ST7, ST8, STC, STD, STI, STW, STX, SVG,
SWF, SXC, SXD, SXG, SXI, SXM, SXW, TEX, TGA, THM, TLG, TXT, VOB, VSD, VSX, VTX, WAV, WB2, WBK, WDB, WLL, WMV,
WPD, WPS, X11, X3F, XLA, XLAM, XLB, XLC, XLK, XLL, XLM, XLR, XLS, XLSB, XLSM, XLSX, XLT, XLTM, XLTX, XLW, XPP, XSN,
YUV, ZIP

Cryptolocker v.I, v.II, v.IV, Teslacrypt, y Locky

Estos utilizan su propio proceso para realizar el cifrado.

Con el fin de brindar proteccin a estas variantes que necesita para configurar una regla para impedir que los procesos que no
son de confianza puedan escribir, renombrar y borrar la lista de extensiones protegidas. Por favor, utilice la regla disponible
en: https://community.mcafee.com/docs/DOC-6553 como plantilla y actualizar las acciones y los tipos de archivo.


Cryptolocker Target Extensions:
3DS, 7Z, AB4, AC2, ACCDB, ACCDE, ACCDR, ACCDT, ACR, ADB, AI, AIT, al, APJ, ARW, ASM, ASP, BACKUP, BAK, BDB, BGT,
BIK, BKP, BLEND, BPW, C, CDF, CDR, CDX, CE1, CE2, CER, CFP, CGM, CLS, CMT, CPI, CPP, CR2, CRAW, CRT, CRW, CSH, CSL,
CSS, CSV, DAC, DB, DB3, DBF, DC2, DCR, DCS, DDD, DDOC, DER, DESIGN, DGC, DJVU, DNAXML, DNG, DOC, DOCM, DOCX,
DOT, DOTM, DOTX, DRF, DRW, DWG, DXB, , ERF, EXF, FDB, FFD, FFF, FH, FHD, FPX, FXG, GRAY, GREY, GRY, H, HBK, HPP,
IBD, IDX, JPEG, JPG, JS, KDBX, KDC, LUA, MDB, MDC, MEF, MFW, MMW, MOS, MPG, MRW, MYD, NDD, NEF, NRW, NS2,
NS3, NS4, NSD, NSF, NSG, NSH, NWB, NX1, NX2, NYF, ODB, ODF, ODG, ODM, ODP, ODS, ODT, ORF, OTG, OTH, OTP, OTS,
OTT, P12, P7B, P7C, PAT, PCD, PDF, PEF, PEM, PFX, PHP, PL, POT, POTM, POTX, PPAM, PPS, PPSM, PPSX, PPT, PPTM,
PPTX, PS, PSAFE3, PSD, PTX, PY, RAF, RAR, RAW, RDB, RTF, RWZ, SAS7BDAT, SAV, SD0, SD1, SDA, SDF, SQL, SR2, SRF,
SRW, ST4, ST5, ST6, ST7, ST8, STC, STD, STI, STW, STX, SXC, SXD, SXG, SXI, SXM, SXW, TXT, WB2, X3F, XLA, XLAM, XLL,
XLM, XLS, XLSB, XLSM, XLSX, XLT, XLTM, XLTX, XLW, XML, ZIP
Teslacrypt Target Extensions:
7Z, ACCDB, AI, APK, ARCH00, ARW, AVI, BAR, BAY, BIG, BIK, BKF, BKP, BLOB, BSA, CAS, CDR, CER, CFR, CR2, CRT, CRW, CSS,
CSV, DAS, DB0, DBA, DBF, DCR, DER, DESC, DMP, DNG, DOC, DOCM, DOCX, DWG, DXG, EPS, ERF, ESM, FF, FLV, FORGE, FOS,
FPK, FSH, GDB, GHO, INDD, ITL, ITM, IWD, IWI, JPE, JPEG, JPG, JS, KDB, KDC, LAYOUT, LRF, LTX, LVL, M2, M3U, M4A, MAP,
MDB, MDBACKUP, MDF, MEF, MENU, MOV, MP4, NCF, NRW, ODB, ODC, ODM, ODP, ODS, ODT, ORF, P12, P7B, P7C, PAK,
PDD, PDF, PEF, PEM, PFX, PNG, PPT, PPTM, PPTX, PSD, PSK, PST, PTX, PY, QDF, QIC, R3D, RAF, RAR, RAW, RB, RTF, SAV, SB,
SID, SIS, SLM, SNX, SQL, SR2, SRF, SRW, SUM, SVG, TAX, TOR, TXT, UPK, VCF, VDF, VPK, VTF, W3X, WB2, WMA, WMO,
WMV, WPD, WPS, X3F, XLK, XLS, XLSB, XLSM, XLSX, XXX, ZIP, ZTMP

Laregladeberaverseasenlainterfacedeusuario

***NOTA:Directivasdelarchivoderenombre/eliminesehanaadidoparaincluircryptolockerV.Ivy
CryptoWalldesdequesecreelvideoenlacomunidad.EstosereflejaenelarchivoTXTreglaHIPactualizada.

cryptolockerV.III
Paralucharcontraestavariantesenecesitarcrearunareglaparaevitarquelosprocesosnosondeconfianza
quellamanprocesosdeconfianza.
Laregladeberaversedelasiguientemanera.

ParafinesdereferenciaporfavorreviselossiguientesartculosdelabaseparaconfigurarHIP:
ParaaplicacionesusarunalistanegradeHostIntrusionPreventionconfirmapersonalizadareferidoaKB71329
ParacrearunaaplicacindebloqueopolticasdereglasparaevitarqueelbinarioseejecuteserefiereaKB71794
Paracrearpolticasdebloqueodereglasdeunaaplicacinqueimpidequeundeterminadoejecutabledeengancharcualquierotro
ejecutableserefiereaKB71794
ParabloquearlosataquesdesdeunadireccinIPespecficaatravsdeMcAfeeNitroSecurityIPSconsulteKB74650

PrevencindePropagacin

Unvectorcomnparaintroducirestasamenazasenentornoscorporativosesatravsdemensajesdespamconarchivosadjuntos.
Aparecendefuenteslegtimasyanimanalosusuariosahacerclicenellos.Lassiguientesconfiguracionespuedenayudaraproporcionar
otracapadedefensa:
Bloqueararchivosadjuntosdeextensindobles
EnVirusScandurantelarecepcindecorreoelectrnicosepuedeconfigurarpara"Buscararchivosadjuntosconvariasextensiones"en
laseccinheurstica.
HIPfirma413"EjecucinDoubleExtensionarchivosospechoso"escapazdeevitarquelosarchivosadjuntosdedobleextensinse
ejecute.Estafirmaestactivadopordefectoenelniveldeseveridadalta.
Filtradodearchivos
ProductosdeMcAfeegatewaycomoMcAfeeEmailGatewayyMcAfeeSecurityparaMicrosoftExchangepuedenimplementarpolticas
defiltradodearchivospornombredearchivooformatodearchivoquepuedendetener.SCR,.EXEy.CABquelleganalosescritoriosde
losusuarios.Laimplementacindeestaspolticaspuedeayudarareducirlasnuevasvariantesqueutilizanestevectordepropagacin.
.

2016 Intel, Inc. All rights reserved.