¿Protege el ransomware Webroot??

Secuestro de datos

El ransomware es un tipo de software malicioso (o “malware”) que infecta las computadoras, luego cifra varios archivos y exige un rescate para recuperarlos. Incluso si paga el dinero dentro del plazo que establece los delincuentes, no hay garantía de que recupere sus archivos. Los rescates típicos cuestan al menos $ 500, pero algunos de ellos solicitan mucho más (particularmente si golpean un negocio más grande que no puede funcionar sin acceso inmediato y confiable a sus datos, como un hospital.)
El ransomware puede golpear a cualquier persona, y este tipo de ataques cibernéticos son comunes y exitosos. Probablemente haya oído hablar de algunos de los más grandes y dañinos en las noticias, como WannaCry o NotPetya. Se estima que el ataque de ransomware WannaCry solo ha causado pérdidas de $ 4 mil millones a las empresas de todo el mundo, mientras que NotPetya costó a las organizaciones más de $ 1.2 billones. Parte de lo que hizo que estos ataques fueran tan devastadores fue qué tan rápido se extendieron. Incluso dispositivos que no estaban conectados a Internet, pero estaban conectados a través de la red de área local a otras máquinas conectadas a Internet, se infectaron.
En los últimos años, también hemos visto emergencias de ransomware como servicio (RAAS). Raas es cuando los autores de ransomware organizan kits de bricolaje que otros delincuentes con menos habilidad de programación o conocimientos de malware pueden usar para lanzar sus propios ataques. Eso hace que la entrega de ransomware sea aún más accesible para el guión casual Kiddie (yo.mi. Una persona no calificada que utiliza herramientas automatizadas escritas por hackers de sombrero negro para entrar en sistemas informáticos.)
Desafortunadamente, la mejor manera de manejar una infección por ransomware es no obtener uno en primer lugar. Si bien puede eliminar la infección, eso todavía deja sus archivos encriptados, y hay muy pocas posibilidades de que alguien los descifrara sin la clave de descifrado única. La única forma de recuperar esos archivos es pagar el rescate y esperar que los delincuentes entreguen la clave (y que la clave funcione), o eliminar el malware y restaurar sus archivos desde una copia de seguridad limpia.
Si desea mantenerse seguro, le recomendamos utilizar un software de seguridad de Internet sólido que pueda evitar que el malware y el ransomware nuevo y nunca antes visto infecten su computadora; Mantenga sus programas de computadora y sistema operativo actualizado; Practique una buena higiene en línea como usar contraseñas seguras y cambiarlas con frecuencia; Evite visitar sitios web arriesgados y descargar aplicaciones o archivos de fuentes no verificadas; y una copia de seguridad de sus datos a una unidad física segura que mantenga desconectado de su computadora cuando no esté en uso. También puede usar una copia de seguridad de la nube segura para sus archivos, pero asegúrese de que sea del tipo que mantenga un historial de versiones de sus copias de seguridad, de lo contrario, puede hacer una copia de seguridad accidentalmente de los archivos encriptados y sobrescribir los buenos.
Lea más sobre Ransomware:

  • El ransomware no le da a nadie: cómo evitar el próximo gran ataque
  • Ransomware: una amenaza moderna para la seguridad pública
  • Cifryptor Raas (ransomware como servicio)

Encuentra la solución de ciberseguridad adecuada para ti.

¿Protege el ransomware Webroot??

Ransomware cifrado (Cryptolocker, CTB Locker, Crtroni, Cryptowall, etc.) es una infección muy difícil de remediar porque utiliza el algoritmo de cifrado de clave pública RSA para cifrar archivos de usuario utilizando claves de cifrado únicas para cada computadora. Una vez que los archivos de un usuario están encriptados de esta manera, es casi imposible descifrarlos sin acceso a la clave privada que se almacena en los servidores remotos en uso por los autores de malware. Actualmente no hay herramientas que sean capaces de descifrar estos archivos sin la clave privada.
Haga clic en una pregunta para ver la solución.
Puede ser tentador, pero no, recompensa las actividades criminales y la extorsión es un crimen feo. De nuestra investigación, sabemos que los días o semanas pueden pasar de realizar un pago a recibir la clave. Es posible que no obtenga la clave en absoluto, o la clave puede no descifrar correctamente sus archivos.
Los archivos generalmente ejecutan el cifrado de fuerza RSA2048+ y, por lo tanto, no podrá forzarlo.

  • Utilice la seguridad de punto final de buena reputación y probada
  • Copia de seguridad de sus datos
  • Educación de usuarios
  • Parche y mantenga el software actualizado
  • Filtrar ex en correo electrónico

Webroot ha creado una sólida reputación para detener el cripto-ransomware y la raíz web fue el primer antivirus y proveedor de antimalware en alejarse completamente del método estándar de detección de archivos basado en la firma. Al aprovechar el poder de la computación en la nube, Webroot reemplazó el antivirus reactivo tradicional con un enfoque proactivo de monitoreo de punto final en tiempo real y inteligencia de amenazas, defendiendo cada punto final individualmente mientras recopila, analiza y propaga los datos de amenazas colectivamente.
Este modelo de prevención de infecciones predictivas permite que las soluciones de raíz web clasifiquen con precisión archivos y procesos ejecutables existentes, modificados y nuevos en el punto de ejecución para determinar su estado bueno, malo o indeterminado conocido. El uso de este enfoque Webroot identifica y bloquea rápidamente muchas más infecciones que el enfoque de firma antivirus normal y somos muy competentes para detectar y detener la cripto-ransomware.
Por supuesto, necesita protección que cubra múltiples vectores de amenazas. Por ejemplo: los enlaces de URL de correo electrónico que actúan como participantes de los sitios de phishing (por qué la protección contra el phishing en tiempo real es clave), protección del navegador web para detener las amenazas del navegador y la reputación web para evitar que los usuarios accedan

¿Protege el ransomware Webroot??

El parámetro “Xxxx” es el número de puerto que le gustaría mover RDP a. Se recomienda elegir un número de puerto aleatorio que no esté en uso y fuera del rango de puertos 33XX.

Secuestro de datos

El ransomware es un tipo de software malicioso (o “malware”) que infecta las computadoras, luego cifra varios archivos y exige un rescate para recuperarlas. Incluso si paga el dinero dentro del plazo que establecen los delincuentes, allí’no te garantiza’Va de vuelta sus archivos. Los rescates típicos cuestan al menos $ 500, pero algunos de ellos piden mucho más (particularmente si llegan a un negocio más grande que puede’T Función sin acceso inmediato y confiable a sus datos, como un hospital.)

El ransomware puede golpear a cualquier persona, y este tipo de ataques cibernéticos son comunes y exitosos. Tú’Probablemente he oído hablar de algunos de los más grandes y dañinos en las noticias, como WannaCry o Notpetya. Se estima que el ataque de ransomware WannaCry solo ha causado pérdidas de $ 4 mil millones a las empresas de todo el mundo, mientras que NotPetya costó a las organizaciones más de $ 1.2 billones. Parte de lo que hizo que estos ataques fueran tan devastadores fue qué tan rápido se extendieron. Incluso dispositivos que estaban’T conectado a Internet, pero se conectaron a través de la red de área local a otras máquinas conectadas a Internet, se infectó.

En los últimos años, nosotros’también ha visto ransomware como un servicio (RAAS). Raas es cuando los autores de ransomware organizan kits de bricolaje que otros delincuentes con menos habilidad de programación o conocimientos de malware pueden usar para lanzar sus propios ataques. Eso hace que la entrega de ransomware sea aún más accesible para el guión casual Kiddie (yo.mi. Una persona no calificada que utiliza herramientas automatizadas escritas por hackers de sombrero negro para entrar en sistemas informáticos.)

Desafortunadamente, la mejor manera de manejar una infección por ransomware es no obtener uno en primer lugar. Si bien puede eliminar la infección, eso todavía deja sus archivos encriptados, y allí’s muy pocas posibilidades de que alguien los descifrara sin la clave de descifrado única. La única forma de recuperar esos archivos es pagar el rescate y esperar que los delincuentes entreguen la clave (y que la clave funcione), o eliminar el malware y restaurar sus archivos desde una copia de seguridad limpia.

Si desea mantenerse seguro, le recomendamos utilizar un software de seguridad de Internet sólido que pueda evitar que el malware y el ransomware nuevo y nunca antes visto infecten su computadora; Mantenga sus programas de computadora y sistema operativo actualizado; Practique una buena higiene en línea como usar contraseñas seguras y cambiarlas con frecuencia; Evite visitar sitios web arriesgados y descargar aplicaciones o archivos de fuentes no verificadas; y una copia de seguridad de sus datos a una unidad física segura que mantenga desconectado de su computadora cuando no esté en uso. También puede usar una copia de seguridad de la nube segura para sus archivos, pero asegúrese de que’S del tipo que mantiene un historial de versiones de sus copias de seguridad, de lo contrario, puede hacer una copia de seguridad accidentalmente de los archivos encriptados y sobrescribir a los buenos. Obtenga más información sobre cómo las empresas y los MSP pueden prevenir el ransomware.

Lea más sobre Ransomware:

  • El ransomware no le da a nadie: cómo evitar el próximo gran ataque
  • Ransomware: una amenaza moderna para la seguridad pública
  • Cifryptor Raas (ransomware como servicio)

Encuentra la solución de ciberseguridad adecuada para ti.

¿Protege el ransomware Webroot??

Ransomware cifrado (Cryptolocker, CTB Locker, Crtroni, Cryptowall, etc.) es una infección muy difícil de remediar porque utiliza el algoritmo de cifrado de clave pública RSA para cifrar archivos de usuario utilizando claves de cifrado únicas para cada computadora. Una vez un usuario’Los archivos S están encriptados de esta manera, es casi imposible descifrarlos sin acceso a la clave privada que se almacena en los servidores remotos en uso por los autores de malware. Actualmente no hay herramientas que sean capaces de descifrar estos archivos sin la clave privada.

Haga clic en una pregunta para ver la solución.

Puede ser tentador, pero no, recompensa las actividades criminales y la extorsión es un crimen feo. De nuestra investigación, sabemos que los días o semanas pueden pasar de realizar un pago a recibir la clave. Es posible que no obtenga la clave en absoluto, o la clave puede no descifrar correctamente sus archivos.

Los archivos generalmente ejecutan el cifrado de fuerza RSA2048+ y, por lo tanto, no podrá forzarlo.

  • Utilice la seguridad de punto final de buena reputación y probada
  • Copia de seguridad de sus datos
  • Educación de usuarios
  • Parche y mantenga el software actualizado
  • Filtrar ex en correo electrónico

Webroot ha creado una sólida reputación para detener el cripto-ransomware y la raíz web fue el primer antivirus y proveedor de antimalware en alejarse completamente del método estándar de detección de archivos basado en la firma. Al aprovechar el poder de la computación en la nube, Webroot reemplazó el antivirus reactivo tradicional con un enfoque proactivo de monitoreo de punto final en tiempo real y inteligencia de amenazas, defendiendo cada punto final individualmente mientras recopila, analiza y propaga los datos de amenazas colectivamente.

Este modelo de prevención de infecciones predictivas permite que las soluciones de raíz web clasifiquen con precisión archivos y procesos ejecutables existentes, modificados y nuevos en el punto de ejecución para determinar su estado bueno, malo o indeterminado conocido. El uso de este enfoque Webroot identifica y bloquea rápidamente muchas más infecciones que el enfoque de firma antivirus normal y somos muy competentes para detectar y detener la cripto-ransomware.

Por supuesto, necesita protección que cubra múltiples vectores de amenazas. Por ejemplo: los enlaces de URL de correo electrónico que actúan como participantes de los sitios de phishing (por qué la protección contra el phishing en tiempo real es clave), protección del navegador web para detener las amenazas de navegador y la reputación web para detener a los usuarios que acceden a sitios de riesgo que solo pueden ser inseguros. Un horario de respaldo regular, parches y educación de usuarios son elementos esenciales del enfoque de defensa en profundidad.

A menudo nos preguntan el líder ‘elefante en el cuarto’ pregunta – “qué solución de seguridad de punto final ofrecerá prevención y protección del 100% de cripto-ransomware?” La respuesta contundente es ninguna. Incluso la mejor seguridad de punto final (que nos enorgullecemos de innovar y luchar constantemente) será muy efectivo la mayor parte del tiempo. En otras ocasiones, un cibercriminal habrá probado y encontrado una manera de eludir nuestras defensas de seguridad de puntos finales u otros y su ataque tendrá éxito.

Raíz web’S Equipo de investigación de amenazas descubre regularmente nuevas amenazas y versiones actualizadas de amenazas más antiguas. Nos esforzamos por proporcionar la protección de seguridad más actualizada a nuestros clientes lo antes posible, pero tenga en cuenta que los nuevos spyware, virus, troyanos y gusanos pueden surgir diariamente, incluso por hora. Estas amenazas a menudo tienen nombres de archivo, nombres de carpetas, hashes, colmenas de registro y claves de registro, y pueden usar técnicas específicas de raíz para esconderse de la detección de antivirus y el sistema operativo de Windows.

El malware se puede incluir con programas gratuitos o compartidos, así que siempre asegúrese de leer y comprender el EULA antes de instalar un programa. Otra forma común en que se entrega el malware es los clientes de intercambio de archivos P2P como Kazaa. Los códecs necesarios para reproducir películas o música gratuitas que descargaron de Internet también pueden infectar su sistema cuando las instale. Los sitios web con marcos o anuncios secuestrados pueden soltar el malware en silencio en su computadora cuando visita un sitio, a veces sin hacer clic en un enlace. Otros sitios comprometidos pueden iniciar lo que parecen ser ventanas emergentes legítimas, que comienzan a descargar malware a su computadora si hace clic en sus Windows.

Incluso cuando toma todas las precauciones posibles, su computadora no puede ser 100% invulnerable para atacar. Intente pensar en el software de seguridad como una vacuna contra la gripe y los virus de la computadora como la gripe común. Obtener una vacuna contra la gripe no garantiza que no se enferme, especialmente si surge una nueva tensión, pero la toma disminuye sus posibilidades. Para tales casos, proporcionamos asistencia gratuita de eliminación de malware para teléfonos y boletos.

Para eliminar manualmente una amenaza con el software Webroot SecureanyWhere, abra el programa y haga clic en Escanear ahora. Secureanywhere luego ejecutará un escaneo y le mostrará qué amenazas, si las hay, detectó. Siga las indicaciones en pantalla para la eliminación de la infección. Una vez completado, siga nuestra lista de verificación posterior a la infección para ayudar a asegurar sus puntos finales, usuarios y credenciales. Si Webroot Secureanywhere no puede eliminar la amenaza, abra un boleto.

¿Protege el ransomware Webroot??

Esta guía incluye información de Webroot sobre cómo asegurar su entorno contra ataques de malware y ransomware. Contiene consejos y prácticas recomendadas para mejorar la resiliencia cibernética y reducir la superficie del ataque. Esta información representa más de una década de información compuesta de la experiencia de Webroot investigando las amenazas.

La ciberseguridad debe manejarse con un enfoque en capas. Simplemente proteger sus puntos finales con el software antivirus y llamarlo un día ISN’es suficiente. También necesita una solución de respaldo de archivo fuerte, un plan de respuesta a incidentes, políticas de contraseña segura, una forma de asegurar DNS, buena higiene cibernética de usuario y conciencia de seguridad y debe considerar el monitoreo de la red e integridad de datos.

Reduce la superficie de ataque

Reducir la superficie de ataque implica identificar y abordar proactivamente todos los problemas relacionados con la seguridad posibles. Y si bien no elimina la amenaza de los ataques, puede ayudar a reducir la duración y la frecuencia de los problemas de seguridad. Tener un plan para responder a los incidentes cibernéticos es clave para asegurar su entorno. Las sugerencias incluidas en este documento están diseñadas para hacer que su superficie de ataque sea lo más pequeña posible.

+Utilizar seguridad de punto final de manera acreditada, probada, múltiple.

¿Puede el punto final de seguridad para detener el 100% de las amenazas??
A menudo se nos hace esta pregunta principal: “¿Qué solución de seguridad de punto final ofrecerá prevención y protección del 100% de malware??” La respuesta simple es ninguna. Incluso la mejor seguridad de punto final (que nos enorgullecemos de innovar y esforzarnos por proporcionar) solo será 100% efectivo la mayor parte del tiempo.

Las amenazas evolucionan constantemente
Los cibercriminales están en el negocio de encontrar formas de seguridad en el punto final y evolucionar constantemente sus métodos de ataque para tener éxito. Cada día, diferentes campañas de malware crean nuevas variantes de infecciones. Luego se reempaquetan o se entregan para permanecer indetectables por los antivirus.

Valor de la seguridad del punto final
Las soluciones de seguridad de punto final de buena reputación usan anti-phishing en tiempo real para detener los enlaces de correo electrónico a los sitios de phishing, la protección del navegador web para detener las amenazas. También emplean métodos para monitorear los puntos finales de código malicioso que se ejecuta activamente, ejecutándose en la memoria o en archivos del sistema.

Seguridad de punto final de raíz web
Webroot ofrece una solución de protección de punto final que utiliza definiciones basadas en la nube para monitorear y evitar que las amenazas impacten los puntos finales. El escudo de tiempo real evita que el código malicioso se ejecute, el escudo de amenaza web protege los navegadores y el escudo de evasión evita las infecciones de los scripts. Se integra con muchos RMM y es una capa efectiva en la lucha contra el malware y el ransomware.

+Haga una copia de seguridad de sus datos y cree un plan de respuesta a incidentes.

  • Planificación. ¿Qué tipos de eventos estamos en riesgo?? ¿Tenemos personas y tecnología adecuadas para monitorear esos eventos?? ¿Están todos correctamente entrenados??
  • Definir qué es un incidente y garantizar alertas. ¿Qué tipos de alertas están involucradas y dónde se envían?? ¿Están las alertas que transmiten efectivamente información sobre incidentes??
  • Monitoreo, respuesta y acción. ¿Cuáles son los pasos a tomar para cada tipo de incidente?? ¿Se definen caminos de escalada?? ¿Ha probado sus respuestas?? ¿Las personas involucradas entienden la importancia de una acción rápida??
  • Trazando el flujo. Esto ayuda a capacitar adecuadamente a todas las personas involucradas y descubre la brecha en el proceso. Son todas las personas adecuadas involucradas? ¿Es el flujo durante los tiempos totalmente de personal diferentes que las horas fuera o los períodos de vacaciones??
  • Análisis de incidentes. Esto es parte de la mejora continua. Cuando ocurra un evento de seguridad, revise para buscar formas de mejorar la respuesta.
  • Probar el plan. No espere un incidente para probar sus respuestas. Probar un plan a menudo descubrirá brechas que no son obvias. Es mucho mejor descubrir una brecha en las pruebas que en respuesta a un incidente real.

Soluciones de respaldo de carbonita
Carbonite ofrece una variedad de soluciones de copia de seguridad basadas en la nube que pueden ayudar a asegurar automáticamente sus datos en la nube. Proporcionan soluciones de respaldo para puntos finales, servidores y datos de Microsoft 365 además de la migración del sistema, la disponibilidad y las soluciones de restauración.

+Monitorear y reaccionar rápidamente a las alertas de seguridad o considerar una solución MDR.

Monitorear alertas y tomar medidas rápidas
Alertas permiten el software de seguridad para transmitir información sobre eventos importantes y deben ser monitoreados de cerca. Son una parte integral de cualquier plan de respuesta a incidentes. Las alertas a menudo requieren acciones correctivas o de seguimiento y el personal de TI debe estar capacitado adecuadamente para saber cómo reaccionar a cada tipo de alerta. El tiempo de reacción más rápido ayuda a limitar el daño asociado con un evento de seguridad. Evite la fatiga alerta creando cuidadosamente alertas y solo enviándolas a eventos significativos.

Soluciones MDR
Las soluciones de detección y respuesta administradas ofrecen una forma para que los MSP y las empresas subcontraten la estrecha gestión de alertas de seguridad. Emplean al personal experto que administra su seguridad por usted, observa alertas y comienza los esfuerzos de limpieza o contención según sea necesario. Su acción rápida evita que las infecciones se propagen y asegura que usted, como cliente, tenga todos los hechos relevantes relacionados con un evento de ciberseguridad.

WebRoot se enorgullece de ofrecer una solución MDR para MSP (proveedores de servicios administrados) a través de una asociación con BlackPoint y One for SMB (pequeña empresa mediana) a través de una asociación con OpenText. Para comenzar su propia conversación de MDR, puede ponerse en contacto con nosotros aquí.

  • Página MDR de Webroot: ofrece información sobre Webroot MDR con alimentación de BlackPoint y OpentText MDR
  • Página de integración BlackPoint Webroot
  • Anuncio de la comunidad de Webroot para MDR

+Definir y hacer cumplir una política de contraseña segura.

  • Definir y hacer cumplir una política de contraseña segura. Aquí hay requisitos mínimos para una contraseña segura:
    • 8 caracteres como mínimo
    • Contiene letras y números
    • Contiene personajes mayúsculas y minúsculas
    • Contiene al menos un signo o símbolo de puntuación
    • No se puede reutilizar (no se usa la contraseña en las últimas 10 veces)
    • Expira y necesita ser actualizado cada 90 días
    • Implementar la autenticación multifactor (MFA) y el inicio de sesión único (SSO)
      • MFA – Método de autenticación que requiere dos o más formas de verificación de un usuario. Esto evita que un atacante pueda usar solo una contraseña robada para iniciar sesión.
      • SSO – Método de autenticación que permite el acceso seguro a los recursos de la compañía utilizando un inicio de sesión y contraseña. SSO está descentralizado, administrado por una aplicación dedicada y permite a los usuarios moverse libremente y de forma segura a través de los recursos de la compañía.
      • Los administradores de contraseñas ayudan a los usuarios a administrar sus cuentas y tienen muchos beneficios:
        • Crea contraseñas complejas y generadas al azar
        • Hace que sea más fácil para los usuarios almacenando las credenciales para múltiples cuentas
        • Elimina el hábito humano de reutilizar contraseñas
        • Contrarresta la fuerza bruta y los intentos de phishing
        • Los datos están encriptados y recuperables
        • Se puede configurar para trabajar con MFA
        • Los usuarios pueden ser engañados por correos electrónicos o sitios web de phishing para proporcionar credenciales. Webroot ofrece capacitación en conciencia de seguridad para educar a los usuarios sobre ataques de phishing y se puede utilizar para ejecutar campañas de simulación de phishing para probar a los usuarios. Los usuarios inteligentes son más resistentes a la caída de las estafas de phishing de cualquier tipo.
        • Esto permite el seguimiento y la auditoría adecuados de los eventos de inicio de sesión y cambio.
        • Aplicar los mismos estándares a las cuentas de servicio en cuanto a las cuentas de usuario, requerir contraseñas complejas y actualizarlas periódicamente.
        • Aunque esto puede permitir que el trabajo se acelere, toda la responsabilidad se pierde cuando esto sucede.
        • Política de contraseña de Windows
        • Uso de GPO para hacer cumplir una política de contraseña segura
        • Introducción a las cuentas de servicio de Active Directory
        • Implementar Microsoft Identity Manager 2016 SP2
        • Pautas de identidad digital NIST
        • Seguridad.org: ¿Qué tan segura es mi contraseña??
        • ¿Me han sido pwned? Compruebe si su correo electrónico o teléfono está en una violación de datos

        +Software de parche y manténgalo actualizado (gestión de parches).

        Patches: actualizaciones de aplicaciones y del sistema operativo
        Las aplicaciones y los sistemas operativos liberan constantemente parches, que corrigen errores o abordan vulnerabilidades de seguridad. Las vulnerabilidades de seguridad pueden proporcionar acceso a la puerta trasera para amenazas de explotar, lo que resulta en infecciones que pueden evitar el software de seguridad. Mantener el software parcheado y actualizado elimina las vulnerabilidades identificadas, lo que hace que los sistemas sean más difíciles de acceder e infectar.

        Aplicando parches
        La mayoría del software incluye opciones para descargar y aplicar automáticamente parches. Microsoft ofrece los Servicios de actualización de Windows Server (WSUS) que permite a los administradores implementar las últimas actualizaciones de productos de Microsoft. Hay aplicaciones de gestión de parches de terceros que ayudan con la tarea y muchas aplicaciones de administración y monitoreo remotos (RMM) pueden ayudar.

        • Servicios de actualización de Microsoft Windows Server (WSUS)
        • Microsoft Endpoint Manager (servicio pagado)
        • Guía de tecnologías de gestión de parches empresariales

        +Restringir o bloquear el acceso al protocolo de escritorio remoto (RDP).

        Los ciberdelincuentes escanean constantemente Internet buscando sistemas con puertos de escritorio remotos de uso común, luego forzarlos con listas de nombre y contraseñas comunes y robadas para obtener acceso. Los ataques de escaneo de puertos y fuerza bruta también se han observado en otros puertos utilizados para el acceso remoto interactivo, como 443 y 22, pero son menos comunes. Una vez que se ha obtenido el acceso, el intruso tiene un control completo del sistema comprometido y puede deshabilitar las protecciones, implementar variantes de ransomware, crear cuentas de usuario y descargar otro software malicioso no deseado.

        Recomendamos asegurar el RDP y otros protocolos o deshabilitarlos por completo y bloquearlos en el firewall.

        • Restringir RDP a una dirección IP aprobada.
        • Requerir MFA para cualquier conexión remota y auditar regularmente.
        • Cambie el puerto para RDP desde el valor predeterminado (3389) a un puerto diferente no utilizado.
        • Considere reducir el umbral de intentos de contraseña incorrectos, pero tenga cuidado y comprenda cómo puede hacer que la negación del servicio (DOS) sea más fácil de ejecutar si lo hace.
        • Utilice un servicio o aplicación de prevención de fuerza bruta
        • Definir y usar una política de contraseña segura. Puede usar GPO para hacer cumplir las políticas de contraseña cuando use Windows.
        • Monitor registros que buscan múltiples intentos de inicio de sesión fallidos. Saber que está siendo atacado y recopilar información de los intentos lo ayudará a emplear capas adicionales de protección para combatir la amenaza.

        Para cambiar el puerto para RDP cuando use Windows:

        Ejecute lo siguiente desde un símbolo del sistema elevado en el servidor alojando RDP:

        Reg ADGRADO
        “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlset \ Control \ Terminal Server \ Winstations \ rdp-tcp” /t reg_dword /v portnumber /d xxxx /f

        El parámetro “Xxxx” es el número de puerto que le gustaría mover RDP a. Se recomienda elegir un número de puerto aleatorio que no esté en uso y fuera del rango de puertos 33XX.

        Una vez completado, bloquee RDP por completo (puerto 3389) a través de su firewall y restrinja el acceso de RDP a una dirección IP aprobada.

        • Umbral de bloqueo de la cuenta
        • Uso de GPO para hacer cumplir una política de contraseña segura

        +Implementar el filtrado DNS.

        Filtrado DNS
        El filtrado de DNS es la práctica de bloquear el acceso a ciertos sitios web por una razón específica. Los sitios pueden ser bloqueados debido a que son maliciosos o porque el propietario de la red no’Quiero que el tráfico vaya a ellos (en el tiempo que pasa tiempo o trabaje en sitios inapropiados).

        Protección DNS de Webroot
        Webroot ofrece el servicio de protección DNS de Webroot para filtrar el tráfico DNS. Webroot utiliza información de URL de BrightCloud, un líder de la industria en datos de clasificación de URL. BrightCloud reevalúa constantemente sitios web, busca sitios maliciosos y asegurando que las categorizaciones sean precisas.

        • Los sitios maliciosos se bloquean automáticamente, manteniendo a los usuarios a salvo de las amenazas que no’Incluso saber existir.
        • El uso de políticas personalizables para permitir y bloquear sitios web en función de la categoría.

        +Educar a los usuarios.

        Humanos: el enlace más débil en la cadena de seguridad
        El enlace más débil en cualquier sistema de seguridad es el elemento humano. Los humanos son propensos a cometer errores y errores en el juicio y pueden ser ‘engañado’ en la apertura de correos electrónicos, haciendo clic en enlaces o visitando sitios que no deberían’T. Este es un vector de amenaza constante, con tácticas continuas en evolución.

        Educación de usuarios
        La educación y la capacitación del usuario son las mejores formas de ayudar a sus usuarios a ser responsables de la seguridad. Mantener a los usuarios conscientes de las últimas tendencias utilizadas en ransomware y ataques de phishing les ayudará a tomar mejores decisiones. Los usuarios expertos e informados son mucho menos propensos a ser engañados por ataques socialmente diseñados. Ejecutar pruebas contra los usuarios le permite medir su preparación y programar más capacitación según sea necesario.

        • Campañas de phishing simuladas que utilizan mensajes de correo electrónico personalizables y de aspecto real y las páginas de atraer para probar a los usuarios.
        • Campañas de capacitación sobre temas de seguridad relevantes y de tendencia para educar a los usuarios sobre una amplia variedad de temas relacionados con la seguridad, y se agregan más cursos constantemente.
        • Informe los datos disponibles para campañas para ayudar a los administradores a rastrear el progreso.
        • Integración con Microsoft Azure AD para administración automatizada de usuarios.

        +Implementar el escudo de evasión de raíz web.

        Ataques basados ​​en guiones
        Los ataques basados ​​en guiones son especialmente difíciles de detectar y prevenir, debido a su naturaleza altamente evasiva. Este tipo de ataque ha aumentado constantemente y se ha vuelto mucho más común en los últimos años. Los scripts maliciosos aprovechan las aplicaciones que ya están presentes en un sistema, conocido como vivir fuera de los binarios de la tierra o lolbins, para comprometer sistemas y obtener acceso. Algunas de las aplicaciones explotadas incluyen PowerShell.exe, Java.exe, Excel.exe, pero hay muchos otros. Otra táctica de los ataques basados ​​en script es estar sin archivos e infectarse a través de acciones de memoria complejas. Esto hace que sea más difícil de detectar, ya que no hay ningún archivo para una solución antivirus tradicional para escanear.

        Escudo de evasión de raíz web
        El Webroot Evasion Shield proporciona protección contra los ataques basados ​​en scripts mediante el uso de técnicas patentadas para detectar y evitar que los scripts maliciosos ejecuten. Protege contra muchos tipos de scripts y también de ataques sin archivos que a menudo evaden otro software de detección de malware. En Windows 10, Webroot ayuda a proporcionar una protección mejorada para scripts sin archivos, scripts ofuscados y otros ataques sofisticados basados ​​en scripts.

        El escudo de evasión de raíz web se incluye con una licencia de protección de punto final comercial activo. Si eres un usuario actual de Webroot (gracias!), vea estas instrucciones para habilitar el escudo de evasión. Si no está utilizando Webroot para proteger sus dispositivos del malware, visite nuestra página para obtener más información sobre la compra o comenzar una prueba.

        +Considere deshabilitar scripts, macros y PowerShell.

        Muchos ataques de malware comienzan a través de archivos adjuntos de correo electrónico. Los archivos adjuntos maliciosos pueden usar scripts para entregar cargas útiles y una vez que un usuario lo abre, la carga útil se implementa y el sistema se ve comprometido. Desactivar los scripts puede ser una forma muy efectiva de detener el malware y debe considerarse en situaciones de alto riesgo. Debe considerarse cuidadosamente, ya que puede causar cierta interrupción en las operaciones diarias para los usuarios.

        Opción 1: (Windows) Deshabilitar el host de script de Windows

        Windows Script Host (C: \ Windows \ System32 \ WScript.exe) es una aplicación de sistema que interpreta los archivos de script. Cuando se ejecuta un script, ejecuta el script a través de este programa. Debido a esto, es posible que desee deshabilitar el host WScript por completo.

        Las instrucciones enumeradas deben ejecutarse por dispositivo.

        Manualmente – Sistemas de 64 bits:

        Para deshabilitar el host del script de Windows, ejecute lo siguiente en un símbolo del sistema elevado:

        REG Agregar “HKLM \ Software \ Microsoft \ Windows Script Host \ Settings” /V Habilitado /T Reg_dword /D 0 /F /Reg: 32
        REG Agregar “HKLM \ Software \ Microsoft \ Windows Script Host \ Settings” /V Habilitado /T Reg_dword /D 0 /F /Reg: 64

        Para volver a habilitar el host del script de Windows, ejecute lo siguiente:

        REG Agregar “HKLM \ Software \ Microsoft \ Windows Script Host \ Settings” /V Habilitado /T Reg_dword /D 1 /F /Reg: 32
        REG Agregar “HKLM \ Software \ Microsoft \ Windows Script Host \ Settings” /V Habilitado /T Reg_dword /D 1 /F /Reg: 64

        Manualmente – 32 bits:

        Para deshabilitar el host del script de Windows, ejecute lo siguiente en un símbolo del sistema elevado:

        REG Agregar “HKLM \ Software \ Microsoft \ Windows Script Host \ Settings” /V Habilitado /T Reg_dword /D 0 /F

        Para volver a habilitar el host del script de Windows, ejecute lo siguiente:

        REG Agregar “HKLM \ Software \ Microsoft \ Windows Script Host \ Settings” /V Habilitado /T Reg_dword /D 1 /F

        Opción 2: (Windows) Deshabilitar la ejecución de macro

        Las macros de oficina pueden ser beneficiosas para algunos entornos de trabajo, sin embargo, en la mayoría de los casos no son necesarios y crean un riesgo de seguridad. Algunos ransomware pueden intentar utilizar scripts macro dentro de los documentos como vector para la entrega de carga útil maliciosa. La ejecución de macro se controla mediante configuración en el centro de confianza.

        1. Abre el Centro de confianza (De cualquier aplicación de la oficina – Archivo> Opciones> Centro de confianza).
        2. En el centro de confianza, haga clic Configuración macro.
        3. Hacer una selección, las opciones incluyen:
          • Deshabilitar todas las macros sin notificación
            • Las macros y las alertas de seguridad sobre las macros están deshabilitadas.
          • Deshabilitar todas las macros con notificación
            • Las macros están deshabilitadas, pero las alertas de seguridad aparecen si hay macros presentes. Habilitar macros caso por caso.
          • Deshabilite todas las macros, excepto macros firmadas digitalmente
            • Las macros están deshabilitadas y aparecen alertas de seguridad si hay macros sin firmar presentes. Sin embargo, si la macro está firmada digitalmente por un editor de confianza, la macro solo se ejecuta. Si la macro está firmada por un editor que aún no ha confiado, tiene la oportunidad de habilitar la macro firmada y confiar en el editor.
          • Habilitar todas las macros (no recomendado, se puede ejecutar un código potencialmente peligroso)
            • Todas las macros se ejecutan sin confirmación. Esta configuración hace que su computadora sea vulnerable al código potencialmente malicioso.
        4. Hacer clic DE ACUERDO Para completar el proceso.
        • Uso de GPO para deshabilitar las macros en el cargo
        • Habilitar o deshabilitar macros en archivos de oficina

        ¿Se protege la raíz web contra el ransomware??

        Rango

        Insignia

        +62

        hace 7 años

        27 de marzo de 2016

        WSA proporciona una excelente protección contra el malware criptográfico, Ransomeware, pero tenga en cuenta que las nuevas variantes se lanzan constantemente en un intento de mantenerse a la vanguardia del software como WSA.

        En algunas situaciones en las que ha pasado, el soporte de treulación web ha podido ayudar a través del reversión, etc.

        También mire este video sobre Webroot y Ransomeware https: // www.Brighttalk.com/webcast/8241/127363

        Webroot proporciona soporte gratuito si es necesario con una suscripción activa de Webroot.

        Espero que esto ayude?

        Windows Insider MVP 2023, IMAC 2021 27 en i5 Retina 5, OS Monterey, Seguridad: MalwareBytes. iPads, W 10 & (VM: 15), Alienware 17R4, W10 Workstation, Alienware 15 R6, W11, WebRoot® SecureanyWhere ™ Internet Security Complete (Android Samsung Galaxy 8 Nota), Webroot Beta Tester. Seguridad