Otro título sugerido: como evitar que cryptolocker, locky, o el ransomware de turno te siga haciendo mierda encriptando todos los archivos de la red.

 

Es imposible que a esta altura del partido no te hayas encontrado nunca o hayas escuchado hablar de los virus que te encriptan los archivos secuestrándolos para pedir rescate.

Ransomware - montaje representativo

Ransomware – montaje representativo

 

El modelo de negocio al parecer funciona demasiado bien, por lo que existen diversas variantes, cada cual con mayor o menor grado de astucia y complejidad, pero en el fondo todas apuntan a lo mismo: encriptar todo lo que haya a mano e imposibilitar los métodos más obvios de recuperación, rompiendo volume shadow copy por citar un ejemplo, incluidos los shares de la LAN (los recursos compartidos de las computadoras o servidores de la red).

Cuando estás del lado de los que administran los servidores de la red, a la primera señal de que hay un cryptolocker en la LAN vas a querer salir corriendo a:

  • Desconectar la workstation infectada con él ransomware para aislarla de la red.
  • Apagar todos los directorios compartidos de la red para que ningún otro idiota vaya por error a abrir el ejecutable que infecta las PC y continúe la cadena.

Continúa leyendo

Otro título sugerido: Como ponerle un antivirus a tu Windows server cuando sos pobre y usás una versión crackeada o con un número de serie trucho y por consiguiente tampoco te alcanza el dinero para comprarle un antivirus decente a tu Windows indecente.

Usar antivirus es de puto. Nada que no sepas, pero por mas machazo, cojonudo y peludo en el pecho que seas, podrías toparte con la necesidad de ponerle un antivirus a alguno de tus Windows, no por que realmente lo vayas a necesitar si no por que estás sirviendo archivos desde el mismo a la red a algunas decenas de usuarios y nunca falta el boludo que abre el «multa.pdf.exe» que le llegó por mail, se infecta con un virus y te llena de basura el recurso compartido y así por fin podés dejar de rascarte las pelotas y justificar finalmente tu sueldo.

Cuando esto pasa, algún otro pelotudo viene detrás y encuentra en su directorio en el server un archivito que antes no estaba y con nombre particularmente sugerente por no no configuraste niveles de acceso por usuario por que te dió paja y que se metan el Active Directory en el culo y que lo configure otro y si total nunca nadie lo hizo y nunca pasó nada. Es Ley, pasa todas las veces. Nunca pasa nada hasta que pasa…

 

El instalador de Immunet preguntando si tenés con que pagarlo.

El instalador de Immunet preguntando si tenés con que pagarlo.

 

Impelido así este pelotudo por la necesidad de ver porno le manda doble click a este «mirá shakira desnuda.exe» y la bola de nieve avanza otro casillero. Para el momento en que te enteraste del problema ya tenés varias workstations de la red infectadas, todo el recurso compartido hecho mierda y totalmente abandonado cualquier vestigio de esperanza que pudieras haber tenido para con la humanidad.Continúa leyendo

Seguramente la frase pertenezca a algún maestro de ninjitsu muy conocido:

“El mejor escondite, es a simple vista…”

Hoy me encontré con un virus que me cagó la teoría. Siempre esperé de un virus que se camufle, intente pasar desapercibido al ojo avezado y haga uso de todas las técnicas existentes y arriesgadas proezas para que no notes su presencia. Este no, todo lo contrario.

En un artículo sobre virus zonzos, no puede faltar el antivirus mas zonzo tampoco.

En un artículo sobre virus zonzos, no puede faltar el antivirus mas zonzo tampoco.

Al respecto tengo varias teorías:

  • Es un virus Zen: Al igual que un Ninja, sabe que el mejor escondite es a simple vista e intenta mimetizarse con el entorno haciendo uso de absolutamente nada, para desconcertar.
  • Lo programó una persona con una severa discapacidad mental.
  • Lo creó un programador semi-mini-junior de no mas de 7 años de edad que no sabe diferenciar un archivo con atributos de oculto de uno con atributos de sistema.
  • No se oculta en el afán de insultar a la inteligencia del usuario. Su creador mira los logs que envía el troyano todas las noches hasta que le empiecen a doler los abdominales de tanto reírse.
  • Lo combinación de al menos dos de las anteriores.

Estoy hablando del virus mas zonzo que existe si me olvido del virus gallego: Estoy hablando del Trojan Spy Win32/Bancos Gen!H.(Hasta el nombre que le ha dado Microsoft es estúpido).

Lo detecté tirando de SecuestrameEsta, Era como muy obvio, se pasaba de obvio, el muy imbécil crea una clave en el registro exactamente donde uno esperaría que la cree:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Y para ponerle la guinda al postre, carga desde una clave con nombre: “JavaUpdate09” un archivo con extensión .cpl:

c:\systeam\winthlxp09byte.cpl

Como si todo lo anterior no fuera poco, pobrecito hacedor de virus, ¿C:\systeam?

¿Me estás jodiendo? ¿Dónde aprendiste a hacer virus, en el palacio de la risa?

  • c:\systeam
  • c:\commonfiles

Como era de esperarse, ni siquiera tuve que matar procesos solidarios ni nada. Fuera proceso del administrador de tareas, fuera clave del registro, borré las dos carpetas y hasta nunca virus.

El proceso de infección lo desconozco pero seguro que fue igual de estúpido, nada de polimórficos incrustados en ejecutables o exploits a vulnerabilidades zero-day. Hasta da risa que pretendan robar dinero de cuentas bancarias con tan poca herramienta cuando otros pobres boqueteros se pasan meses enteros excavando túneles bajo tierra para llegar a la bóveda… La vida es muy injusta con aquellos que quieren vivir fuera de la ley sin saber programar…

Otro virus mas para mi Forever Virus Collection Vol. 3, irá a parar al mismo RAR de máxima seguridad en donde mantengo contenidos y a raya a otros virus bien jodidos como el w32.Virut o el viejo Sasser que lleva tantos años ahí encerrado ya que debe ser como el viejo que le consigue cigarrillos a todos en la carcel. A este pobrecito, algo me dice que los demás lo van a tomar de punto y le van a hacer de todo, como en las películas.

Y se lo merece. ¿Podrá alguna vez un virus ser mas zonzo que este?

Como ahora tengo Debian 6 en esta PC desde la que escribo, no paro de encotrarle cosas interesantes.

Recién, a punto de instalar Wine, –la capa de compatibilidad con Windows para Linux, para poder instalar Adobe Photoshop ya que GIMP apesta por que Linux es una porquería– me encuentro con lo siguiente:

Instalando Wine en Debian 6 desde la consola. Vean la lista de paquetes sugeridos.

Instalando Wine en Debian 6 desde la consola. Vean la lista de paquetes sugeridos.

Wine no es Windows, no es mas que una pobre capa de compatibilidad autónoma que hace funcionar aplicaciones «enjauladas» como si se tratara de una jaula chroot, un sandbox o el disco rígido de una máquina virtual. La posibilidad de que un virus se salga de esta jaula es cero y si se saliera, nunca podría infectar un sistema operativo Linux. Aún así, se me recomienda como paquetes sugeridos para instalar junto con Wine:

  • avscan – Un antivirus
  • klamav – El frontend para KDE de otro antivirus.
  • clamav – Otro antivirus, que casualidad.

Windows, tu mala fama no conoce fronteras, ¡Atravieza inclusive la capa de compatibilidad con Linux!