RAMSWARE Locky no detectado por PANDA PLUS

Contenedor de incidencias RESUELTAS por los expertos, CERRADAS por el usuario o que han expirado en el tiempo.
Cerrado
fossilgt
Usuario registrado
Usuario registrado
Mensajes: 147
Registrado: Jue, 23 Jul 2015, 17:58

RAMSWARE Locky no detectado por PANDA PLUS

Mensaje por fossilgt »

Buen dia...

mi cliente tiene el PANDA Endpoint Protection PLUS. el cual no detecto el RAMSWARE Locky, el cual encripto los archivos del cliente..

me pueden indicar si en el PLUS se puede configurar la proteccion de DATOS, que tienen las versiones Retail...

ya que necesito que esto no vuelva a pasar... es un cliente que tiene 180 licencias... y esta muy molesto.. dudando de la capacidad de PANDA como antivirus...--

adjunto las imagenes en donde tuve que usar herramientas de otra marca para detectar el RAMSWARE y eliminarlo. teniendo el PANDA instalado
ramsware locky1.jpg
ramsware locky1.jpg (146.26 KiB) Visto 5170 veces

escaneado con panda
escaneado con panda
ramsware locky2.jpg (190.91 KiB) Visto 5169 veces

saludos
Avatar de Usuario
CJ166
Panda Partner
Panda Partner
Mensajes: 1023
Registrado: Sab, 14 Abr 2012, 09:55

Re: RAMSWARE Locky no detectado por PANDA PLUS

Mensaje por CJ166 »

Hola fossilqt,

El tema de ransomware puede ser muy categórico como muy "aleatorio", me explico, cuando digo "categórico", quiero decir que ningún fabricante de AV te va a garantizar una detección 100% de algún ransomware en la familia crypto y menos alguna herramienta eficaz en la desencriptacion de los ficheros, por la misma naturaleza de encriptación del ransomware, RSA-1024,2048,4096. (aqui una pequeña explicación del cifrado (http://www.pandasecurity.com/spain/medi ... ptolocker/).

Sé que algunos fabricantes tienen herramientas a su disposición para la desinfección y desencriptación de los ficheros, esto se debe que en algún momento estos fabricantes obtuvieron muestras propias del malware y generaron una "vacuna", pero, ellos mismos aclaran que esas herramientas funcionan siempre y cuando se cumplan algunas condiciones, que si alguna no se cumple la herramienta de por si no funciona, y de por sí, se explica que esas herramientas funcionan para determinados malware de la familia crypto o versión, por el simple hecho que esta familia de ransomware "evoluciona" o "muta" en diferentes versiones o variantes, dejando esas herramientas de por si obsoletas frente al nuevo cifrado, es decir, llegamos nuevamente a 0.
Panda Partner Colombia.
Avatar de Usuario
CJ166
Panda Partner
Panda Partner
Mensajes: 1023
Registrado: Sab, 14 Abr 2012, 09:55

Re: RAMSWARE Locky no detectado por PANDA PLUS

Mensaje por CJ166 »

Ahora, cuando digo "aleatorio" quiero decir que se puede dar el caso de detección como no..., te comento lo que me paso personalmente. Hace poco (exactamente el 22/06/16) sufri un ataque de ransomware, la cual en el equipo que estaba tenía el Symantec Endpoint, actualizado en todos sus módulos al día de la fecha de infección, la infección fue provocada por un instalador que descargue de un programa "confiable" empaquetado en .msi, luego de instalar "normalmente" el equipo se reinició abruptamente y quedo en una pantalla de bloqueo típica de este ransomware de "pago rescate", intente por todos los medios acceder, pero no se pudo, a si que, saque el disco y logre sacar una muestra del malware y enviarla a los laboratorios de Panda Labs. Con esa misma muestra, lo puse en un equipo con Panda, siendo la versión corporativa del Adaptive Defense 360 http://www.pandasecurity.com/spain/ente ... %20360.htm.

Realice el mismo procedimiento descargue el programa "legitimo, he instale, cuando 8-) el Adaptive detecto el cambio sospechoso en el sistema, dándome la opción de ejecución y bloqueo, evidentemente le di bloquear y con eso se evito la ejecución de este malware desconocido para Symantec. Entonces que digas que no fue detectado por el Plus pues no dice en nada que el Plus no proteja contra malware desconocido, ya que el mismo Endpoint de Symantec no detecto nada tampoco, y esto puede pasar con cualquier fabricante ante un malware reciente, variado en su versión o desconocido, pero si te puedo decir que, el Adaptive Defense 360, la nueva arma de Panda frente a cualquier malware y ransomware cuenta con módulos de avanzada frente a cualquier Endpoint del mercado como lo son EDR ( Endpoint Detection and Response) y EPP (Endpoint Protection Platforms). El Adaptive no es 100% infalible, pero si te dará una capa de protección más allá de lo "convencional".
Panda Partner Colombia.
Avatar de Usuario
PandaSupport1
Moderador Oficial
Moderador Oficial
Mensajes: 4085
Registrado: Lun, 02 Abr 2012, 18:34
Ubicación: PSI Headquarters

Re: RAMSWARE Locky no detectado por PANDA PLUS

Mensaje por PandaSupport1 »

Hola,

Tal y como acertadamente comenta CJ166, Adaptive Defense 360 es el producto que actualmente mejor encajaría para tu cliente, y/o cualquier cliente corporativo que quiera estar protegido ante ese tipo de amenazas.

Si quieres información técnica, comercial, etc, ponte en contacto conmigo por mensaje privado. Te podría facilitar la comunicación con los correspondientes corporativos comerciales para ver si te pueden ofertar este producto.
Un saludo,

Imagen
Alberto Domínguez
TechSupport Department - Panda Security

No respondo a mensajes privados a no ser que los solicite previamente
Avatar de Usuario
CJ166
Panda Partner
Panda Partner
Mensajes: 1023
Registrado: Sab, 14 Abr 2012, 09:55

Re: RAMSWARE Locky no detectado por PANDA PLUS

Mensaje por CJ166 »

En lo personal no me gusta el spyhunter, me ha generado más problemas que otra cosa, he visto casos con el spyhunter donde abrió mas puertas para el malware que para cerrarlas, vuelvo aclaro, en lo personal...

Para finalizar, no está demás decir, que la primera línea de defensa y suele ser la más eficaz es la de "entrenar" y/o educar a los usuarios de la empresa a no abrir/ejecutar cualquier archivo que tenga de procedencia sospechosa o extensiones sospechosas del fichero, cosa que no se requiere de grandes conocimientos informáticos para aplicar el sentido común y este deber cae sobre el administrador de sistemas o de la red de estar informando y educando...

¡Podemos tener muchos blindajes, pero, el eslabón más débil en la cadena es el usuario, es como tener una puerta blindada de 2mts de espesor, si se deja abierta, pues nada que hacer se entraron!

Por lo demás lo mismo, tener backups y etc..

Adjunto imgs.
Adjuntos
Muestra del ransomware que saque del equipo infectado.
Muestra del ransomware que saque del equipo infectado.
Muestra malware crypto.JPG (69.28 KiB) Visto 5151 veces
Intrusión detectada por el Adaptive Defense 360
Intrusión detectada por el Adaptive Defense 360
Capture.JPG (32.35 KiB) Visto 5151 veces
imagencrypto.JPG
imagencrypto.JPG (94.28 KiB) Visto 5151 veces
Panda Partner Colombia.
fossilgt
Usuario registrado
Usuario registrado
Mensajes: 147
Registrado: Jue, 23 Jul 2015, 17:58

Re: RAMSWARE Locky no detectado por PANDA PLUS

Mensaje por fossilgt »

buen dia..

con los comentarios que colocaron, me estan diciendo que el Endpoint Protection PLUS, no protege contra Ramsware...

le comento que el cliente es una entidad de Gobierno.. y no puedo venir y decirle que tiene que adquirir otra version de PANDA, para protegerse del RAMSWARE... por otro lado, por ser gobierno, fue una licitacion, la cual le quitamos a ESET, y se firmo un CONTRATO, el cual esta en peligro en este momento, ya que si no se les soluciona el problema de proteccion, no solo nos pediran el reembolso monetario, si no que PANDA quedaria mal visto en instituciones de Gobierno, el cual nos a costado mucho que nos tomen en cuenta...


necesito que todo el personal de PANDA, de Soporte, nos apoyen con este problema...

quedo a sus ordenes..
David C
Moderador Oficial
Moderador Oficial
Mensajes: 69
Registrado: Jue, 18 Oct 2012, 11:45

Re: RAMSWARE Locky no detectado por PANDA PLUS

Mensaje por David C »

El problema mayoritariamente radica en la configuración.

Empiezo indicando que tener un antivirus, no es la panacea contra el malware.
Si yo tengo un ferrari, y mi conductor se acaba de sacar el carnet, no le dejo el coche. Me explico:
Si los usuarios no saben utilizar las herramientas que tienen para su trabajo, ya que abren puertas traseras, abren cualquier mail, se conectan a páginas de publicidad y gusto dudosos, pues habra que apretar la seguridad en dicha empresa.

Empezamos por el Antivirus.
SE aplican todas las configuraciones posibles:
Comprimidos
Email
Navegación.
Con todos los checks marcados.

Firewall:
Se activa, restringiendo el acceso a los programas y aplicaciones utilizados para la productividad en la empresa.
configurando los accesos de cada uno y a que ip´s, y con que permisos pueden acceder. Esto limita el impacto interno.

SE configura el uso de periféricos, de dispositivos.
No se permite el uso de ningún periférico que no sea exclusivamente para trabajar.
El uso de USB´s traídos de casa por el usuario, dispara las posibilidades de introducir un infección en la red. Formalmente, la seguridad que tienen los usuarios en sus domicilios, es, básicamente, ridícula y peligrosa.

Control de acceso a páginas web.
Se aprieta al máximo el acceso a páginas web.
Si el usuario que metió la infección en la red, lo hizo a través de un correo basado en web (yahoo, hotmail, gmail...etc) y lo hizo a través de una URL desde donde se descargó un archivo jar, por poner un muy típico ejemplo de los últimos cryptos, es muy difícil detectar y detener esta infección. Y el problema ha incidido en el usuario final.

Bloquee todas las páginas que no sean de trabajo, referenciado por puestos, o departamentos.
Bloquee el uso de páginas personales o web mails.
Bloquee el acceso a páginas sociales, de armas, pornográficas de juegos, diarios de prensa, religión, etc, todo lo que no sea estrictamente necesario para la productividad.

Así aumentará la seguridad de su empresa.


Espero que esto le haya servido de referencia.
__________________________________________________________

David C.
Dpto. Soporte Técnico

Panda Security
The Cloud Security Company
Cerrado

Volver a “Adaptive Defense y Endpoint Protection - Archivo de Incidencias”