El Ransomware que utiliza EFS

Escrito por Sergio Maestre

El Ransomware ya no requiere de permisos de administrador ni tampoco interacción con el usuario final para apoderarse y compartir nuestros documentos más confidenciales.

Investigadores de Safebreach Labs compartieron los resultados de una investigación relacionada con un tipo de ransomware que utiliza el EFS (encrypting file system) de Windows para cifrar los archivos de nuestros endpoints.

Y luego compartirlos o pedir a cambio bitcoins para regresarnos el control de los mismos.

¿Que es EFS?

El EFS, debemos aclarar que no se trata del Bitlocker, que es la característica de Windows que permite cifrar el disco duro completo. 

El EFS o Encrypting File System sólo cifra de manera selectiva algunos archivos y carpetas en el disco duro por razones de seguridad.

Es utilizado por los sistemas operativos Windows desde Windows 2000 para los usuarios de negocio, no requiere contraseña para activarse. 

A tomar en cuenta:

El ransomware no requiere de permisos de administrador, con los permisos básicos de un usuario plano puede cifrar todos los archivos que desee.

No requiere interacción del usuario. 

Al utilizar el driver NTFS el ransomware de EFS trabaja a muy bajo nivel del kernel, esto quiere decir que el file system del sistema operativo nunca se entera de lo que está pasando.

Resultados

Safebreach Labs evaluó 3 soluciones anti ransomware del mercado:

  • ESET Internet Security 12.1.34.0

  • Kaspersky Anti Ransomware Tool for Business 4.0.0.861(a)

  • Microsoft Windows 10 Controlled Folder Access on Windows 10 64-bit version 1809 (Build 17763)

Las tres soluciones fallaron al momento de detener la amenaza en equipos con Windows 10 64-bit version 1809 (Build 17763) virtualizado.

Aunque fue testeado en Win10, también se estima que afecte a Windows Vista, Win7 y Win8.

Para prevenir

En el caso de que no estén seguros que su solución de Anti Ransomware detenga esta amenaza, ustedes pudieran temporalmente (si no la utilizan para algo particular) deshabilitar EFS modificando la siguiente llave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\EFS\EfsConfiguration to 1


Clientes con Sophos Endpoint

  • Intercept X / Intercept X Advanced / Intercept X Advanced with EDR on Windows endpoints. Actualizados.

  • Intercept X for Server. Actualización con el EAP.

Conclusión

El Ransomware evoluciona y no muere.

Sergio Maestre

Sergio Maestre https://www.corpmaestre.com
Anterior

Parte 2. QUIC: El protocolo que pone en riesgo nuestras redes
Siguiente

QUIC: El protocolo que pone en riesgo nuestras redes