Archivo

Entradas Etiquetadas ‘seguridad’

El Ramsonware de Correos

lunes, 4 de mayo de 2015 4 comentarios

Hola a todos,

Aunque parezca raro, pero sólo tengo que decir ¡¡Ya me ha entrado a mi bandeja el correo del Ramsonware de Correos!! Así que antes de mandarlo a Correo no deseado e intentar reportarlo como contenedor de malware, voy a explicar como interceptar este tipo de correos y no caer en el engaño.

Para empezar, vamos a indentificar que es Ramsonware, que según la Wikipedia, indica que:

Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.

Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250.000 tipos de ransomwares únicos

http://es.wikipedia.org/wiki/Ransomware

CORREOS

Si miro desde mi gestor de correos web el correo recibido, identifico parte de la cabecera que me va a indicar de que podría no ser el emisor que dice ser.

CORREOS2

1.- El emisor (Que es español! Correos de España), no es capaz de procesar correctamente los acentos.

Las herramientas de traducción utilizadas, no entienden que CARTA es FEMENINO y que por lo tanto, es ENTREGADA y no ENTREGADO.

2.- El emisor, no concuerda con el dominio que indica, Correos, enviaría un correo (sabiendo mi dirección de correo electrónico), desde un dominio @correos.es, y no @sdacourier24.com.

Otra información a tener en cuenta, es que España va con nuestra queridísima Ñ, y que por lo tanto, vemos que tampoco procesa correctamente caracteres especiales de nuestro idioma.

Ahora si nos fijamos en el cuerpo del mensaje, observamos algunos fallos (unos más vistosos que otros):

CORREOS3

1.- Este es el más difícil de identificar, pero si te fijas bien, verás que el fondo naranja es de 2 códigos diferentes:

– Naranja bajo las letras: #FFD015
– Naranja barra: #FDCF23

Se que identificar este caso es bastante difícil, pero si que se nota un poquito 😉

2.- Si nos envía el correo electrónico desde CORREOS, a cuanta de quien nos indican que no se ha procesado en COURIER, otra empresa de mensajería ¿Ahora se cambian los clientes? 🙂

3.- Volvemos otra vez a la rica lengua española que tenemos, ya que podemos ver que todos los acentos son cambiados por tildes, ya que no son capaces de tratarlas correctamente 😉

También tenemos que contar, que las expresiones utilizadas son muy «De traductor automático».

4.- Si situamos el ratón por encima de los LINKS que existen en la pagina web:

– Descargar información sobre su envío
– Haga click aqu’i para

Nos remite a la misma URL, que podemos observar al pie izquierdo de la web, y que es totalmente externa a correos o a cualquier sistema de acortamiento de URL tipo bit.ly.

Este es sólo un ejemplo, que por suerte, he podido tener para poder visualizarlo, pero al cabo del día, se envían una gran cantidad de correos electrónicos que lo único que persiguen es conseguir hacerse con el control del vuestro equipo, para unirlo a una red de Bots, secuestrar ficheros, etc….

P.D.: Si habéis sido afectados por este ramsonware o por el Virus de la Policía, y es un equipo de una empresa, deberéis dirigiros a generar una denuncia por secuestro de datos, identificar los datos afectados (para efectos de LOPD), y sobre todo, no realizar el pago del dicho secuestro, ya que en ese momento, podrían denunciarnos por cohecho y/o complicidad.

Espero que a raíz de esta entrada, cuando recibáis un correo que no estáis esperando, seáis capaces de poder identificarlo como legítimo o SPAM, después de haber leído esto.

MSA-2974294 Vulnerabilidad en Microsoft Malware Protection – WindowsIntune

jueves, 19 de junio de 2014 Comments off

Hola a todos,

Aunque lo parezca, no tengo olvidado al blog, simplemente que estoy de bastantes cambios actualmente (personales y laborales) y la cabeza, para hacer las cosas bien, hay que tenerla despejada 😉

El pasado día 17/06 Microsoft publicaba una Vulnerabilidad para el producto Microsoft Malware Protection ( CVE-2014-2779), de la cual aviso de la importancia que tiene, ya que puede suponer una denegación de servicio de la solución de protección de Microsoft, y esto afecta a:

  • Microsoft Forefront Client Security
  • Microsoft Forefront Endpoint Protection 2010
  • Microsoft Forefront Security for SharePoint Service Pack 3
  • Microsoft System Center 2012 Endpoint Protection
  • Microsoft System Center 2012 Endpoint Protection Service Pack 1
  • Microsoft Malicious Software Removal Tool[1]
  • Microsoft Security Essentials
  • Microsoft Security Essentials Prerelease
  • Windows Defender for Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2
  • Windows Defender for Windows RT and Windows RT 8.1
  • Windows Defender for Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2
  • Windows Defender Offline
  • Windows Intune Endpoint Protection

Y como he señalado en NEGRITA Windows Intune también está afectado, ya que dependa del core de este motor de protección.

Para comprobar si estamos afectados en esta vulnerabilidad deberemos saber la versión que tenemos instalada: https://support.microsoft.com/kb/2510781 y si tenemos una versión anterior a  1.1.10701.0 deberemos actualizarla en la mayor brevedad posible.

Un Saludo!

W7&W2K8: Modificar ficheros protegidos por el sistema

miércoles, 28 de diciembre de 2011 Comments off

En algunas ocasiones, tenemos que realizar alguna modificación en ficheros que estan ubicados en directorios protegidos, como en el directorio c:windows, no es posible realizar las mismas tareas que con Windows XP, que era ir al directorio con un usuario administrador y editar el fichero en concreto. En Windows 7 y Windows Server 2008, no es posible realizar la tarea de esta manera, sinó que tenemos que actuar un poco diferente, de tal manera que primero abriremos el software con el cual vamos a modificar el fichero, elevando los privilegios y seguidamente, abriremos el fichero, realizaremos un backup y realizaremos las modificaciones oportunas.

Por ejemplo, voy a mostrar como modificar el fichero HOSTS de un Windows 7.

  1. Pulsamos en el icono de inicio e introducimos en la caja de búsqueda notepad, vemos que en la parte superior de la barra de Windows, aparece la aplicación notepad.exe.
  2. Pulsamos botón derecho encima de notepad.exe y seleccionamos Ejecutar como administrador.
  3. Se abrirá notepad, y desde el menú archivo-abrir, iremos a la ubicación del fichero a modificar, en este caso el fichero hosts: C:WindowsSystem32driversetc
  4. Desde la misma ventana de exploración, podremos copiar y pegar el fichero hosts para realizar un backup de la configuración actual.

  5. Una vez verificado que tenemos una copia del fichero original, seleccionaremos el fichero HOSTS y modificaremos los parámetros necesarios.

Como véis, he editado el fichero HOSTS y he añadido información como la versión IP de cada linea, así como también he añadido una URL de pruebas del blog.

Instalación Altaro Hyper-V Backup

jueves, 17 de noviembre de 2011 Comments off

 Altaro Hyper-V Backup, el software para realizar copias de seguridad de nuestro entorno Hyper-V.

 Algunas características son las siguientes:

  •  Copias de seguridad en caliente:Copia de seguridad de máquinas virtuales corriendo sin parar.
  • Totalmente de Hyper-V Consciente: Altaro Hyper-V Backup hace todo el proceso de configuración del backup y le permite copiar cualquier VM en 5 clics o menos.
  • Menos Agentes:Se instala en propio Hyper-V sin tener que instalar nada en la máquina virtual.
  • Flexible:Copia de seguridad o restauración de máquinas virtuales individuales sin tener que restaurar un volumen entero.
  • Restaurar individual:Capaz de restaurar una VM o varias en host diferente al original.
  • Restaurar desde múltiples copias: Capaz de restaurar desde varias copias a lo largo del tiempo.
  • Administración de Backup avanzada:Posibilidad de realizar Backup en diferentes horarios.
  • restaurar máquinas virtuales al mismo:La misma VM puede ser restaurada con diferente nombre para no sobrescribir la original.
  • Consistencia en el Backup:Poder recuperar una máquina sin perder tiempo de servicio (linux).
  • Compatible con Hyper-V Server Core
  • Existe la versión FREE que permite realizar copias de seguridad de 2 VM

Vamos a ver el proceso de instalación, que es muy simple:

  1. Iniciamos el proceso de instalación realizando un RUNAS del Setup:
    AltaroHyperVBackupSetup_BETA2.exe.
  2. Una vez extraídos todos los ficheros, se nos abrirá el wizard de instalación, en el cual, deberemos clicar en NEXT
    altarobh02
  3. Aceptamos la licencia de uso.
    altarobh03
  4. Indicamos la ruta de instalación de Altaro Hyper-V Backup
    altaroBH04
  5. El Wizard nos informa, que tiene toda la información necesaria para empezar la instalación.
    altaroBH05
  6. Esperamos mientras se integra Altaro Hyper-V Backup en nuestro sistema
    altaroBH06
  7. Marcamos el check de abrir la consola de administración y pulsamos Finish.
    altaroBH07

Como podemos ver, la instalación es de lo más simple que hay.

Al lanzar la consola de administración, lo primero que deberemos realizar es la configuración del destino de los Backups que vamos a lanzar (en que disco Local/Red vamos a dejar los ficheros de Backup), y la configuración de correo, con una cuenta de usuario, para notificar a los administradores, las acciones que reporte la consola.

  1. Esperamos que el Launch acabe de cargar los módulos para abrir la consola
    altaroBHCONFIG01
  2. Nos muestra un aviso, de que estamos utilizando una versión trial completa de 30 días, y que pasado estos días, deberemos comprar el programa para seguir con la versión completa o cambiará a la versión Free.
    altaroBHCONFIG02
  3. Una vez abierta la consola de administración, se nos aparece 3 áreas:
    1. Izquierda:Área de configuración general, en donde indicaremos las unidades en donde realizar el Backup, y que Backups vamos a realizar
    2. Arriba:Área de acciones de configuración, si Altaro detecta que para realizar una configuración debemos configurar algún parámetro, este se nos motrará en dicho área.
    3. Central:Área de acción, en donde podremos cambiar la parametrización, se nos mostrará información, etc.
      altaroBHCONFIG0301
  4. En el area superior, clicamos en Click here to setup a Backup Drive, para realizar la configuración del disco destino de los Backups.
    Tanto se podrá configurar un disco local como una unidad UNC.
    altaroBHCONFIG04
  5. Realizaremos la misma acción, para el 2n Backup Drive
    altaroBHCONFIG05
    Y clicaremos en Synchronize your Backup to the 2nd Backup Drive Now.
  6. En el DashBoard nos muestra el estado de los disco que hemos añadido, al igual, que más adelante, nos mostrará el estado de las copias de seguridad.
    altaroBHCONFIG06
  7. Por último, configuraremos una cuenta de correo para el envío de notificaciones desde el servidor.
    altaroBHCONFIG07

Como podéis ver, la configuración inicial es simple.