CTB-Locker

[iescudero]

Buenas! en las ultimas semanas, en la compañia en la que trabajo, hemos tenido varios casos del CTB-Locker, que como sabran, es un malware que encripta documentos en el host infectado y para desencriptarlo piden un rescate, es decir un pago mediante bitcoins a un sitio TOR.
Utilizamos una solucion de Eset como antivirus y comenzamos a aplicar algunos cambios con este antivirus, tambien en el mail server y ahora nos resta la seguridad perimetral.
Alguien tiene idea de como lidiar con nuestro fortigate con este tipo de amenazas?
el CTB-Locker nos llega en un archivo CAB, y adentro un SCR, hasta donde sabemos es una variante del original, por lo que Eset no tiene firmas para esta variante.

Cualquier idea que aporte al tema, sera bienvenida y agradecida

Gracias!

[gabyrossi]

Hola, revisa esrte link

[Debes identificarte para poder ver enlaces.]

revisa el seteo de la base del antivirus para que este como extendida.

saludos.

[iescudero]

Gracias por la respuesta! me pasaste el mismo link que la gente de soporte de fortinet cuando hicimos un ticket.
Debajo esta mi config.
Cuando se bloquea archivos por tipo, tambien sucede si este archivo esta comprimido? tengo el engine 5.00043 (Updated 2013-05-10 via Scheduled Update), hay manera de upgradearlo sin cambiar de FortiOS?
Hay algo mas que se les ocurra para mejorar la seguridad con este tipo de infecciones? (Repito que estamos viendo de utilizar una GPO para ajustar mas el cerco de los ejecutables, miramos el mail server para mejorar la seguridad por ese lado y tambien desde el antivirus de cada workstation.

Aparentemente este ransomware se ejecuta con un scr, por lo que comenzamos a mirar el lado no solo desde la DB del antivirus, sino desde el punto de vista de estos archivos.
Detallo la configuracion hecha hasta ahora por si a alguien le sirve y si se le ocurre algo mas:

Cree un nuevo profile para el antivirus:

config antivirus profile
edit "Mail"
set comment "Analisis de Correos entrantes"
config smtp
set options scan file-filter
end
set filepattable 2
set av-virus-log enable
set av-block-log enable
next
end

Como veran, solo analiza smtp ya que este profile se aplica a la policy donde publicamos el mail server a internet.
Otra cosa, tiene habilitada la opcion de filtrar arhivos por tipo (scan file-filter).

config antivirus filepattern
edit 2
set comment "Tipos de archivos bloqueados en mails entrantes desde Internet"
config entries
edit "*.bat"
set active smtp
next
edit "*.com"
set active smtp
next
edit "*.dll"
set active smtp
next
edit "*.exe"
set active smtp
next
edit "*.scr"
set active smtp
next
edit "*.pif"
set active smtp
next
edit "*.cab"
set active smtp
next
edit "exe"
set filter-type type
set file-type exe
set active smtp
next
edit "bat"
set filter-type type
set file-type bat
set active smtp
next
end
set name "Mail_File_Type"
next
end

Por ultimo tambien habilite la opcon de scan de grayware y la DB extendida:

config antivirus settings
set default-db extended
set grayware enable
end

Tambien hice un update, por lo que tengo la ultima DB de definiciones.


Sigo investigando que mas podemos hacer, cualquier aporte es bienvenido.

Muchas Gracias!

[gabyrossi]

Hola, tambie podria bloquear directamente lo .zip

slaudos.

[iescudero]

SI, lo estamos haciendo desde el mail server, junto con los cabs, rar, etc...
la macana es que no tengo fortyanalizer y el fortigate que tenemos no tiene disco ni flash para usar como almacenamiento, si bloqueo los comprimidos desde el firewall no tengo manera de recuperar los comprimidos una vez que ya fueron bloqueados.
Vuelvo a preguntar una vez mas por si alguien lo sabe:
Cuando se bloquea archivos por tipo, tambien sucede si este archivo esta comprimido?
No encuentro en ningun lugar que diga que pasa cuando un archivo esta comprimido, que pasa con el file filter.
hay alguna manera que alguien sepa de actualizar el engine del av sin tener que hacer un upgrade de firmware?

Nuevamente, cualquier aporte es bienvenido.

Gracias!