Recientes

jueves, 18 de mayo de 2017

El virus de encriptación WannaCrypt (SOLUCION?)


El 12 de mayo 2017 detecta un nuevo ransomware que se extiende como un gusano mediante el aprovechamiento de las vulnerabilidades que han sido fijados previamente. Mientras que las actualizaciones de seguridad se aplican de forma automática en la mayoría de los ordenadores, algunos usuarios y empresas pueden retrasar el despliegue de parches. Por desgracia, el ransomware, conocido como WannaCrypt , parece tener los equipos afectados que no hayan aplicado el parche para estas vulnerabilidades. Mientras que el ataque se está desarrollando, recordamos a los usuarios instalar MS17-010 si no lo han hecho ya.

Hay dos escenarios que creemos que son altamente posibles explicaciones para la propagación de este ransomware:

Llegada a través de correos electrónicos de ingeniería social diseñadas para engañar a los usuarios para ejecutar el software malicioso y activar la propagación del gusano.

Infección a través de SMB (protocolo de mensajería del equipo) a través de otras máquinas infectadas.

Microsoft ha sacado varios parches para sistemas desactualizados como XP y windows 8, sim embargo, un windows 7 actualizado, no necesita ESTOS PARCHES (DESCARGAR AQUI)


COMO FUNCIONA:

El componente ransomware es un gotero que contiene un archivo .zip protegido por contraseña en su sección de recursos. La rutina de cifrado de documentos y los ficheros del archivo .zip contienen herramientas de apoyo, una herramienta de descifrado, y el mensaje de rescate. En las muestras que analizamos, la contraseña para el archivo .zip es “WNcry @ 2ol7”.

Cuando se ejecuta, WannaCrypt crea las siguientes claves del registro:

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \\ <cadena aleatoria> = “<directorio de trabajo de malware> \ tasksche.exe”
HKLM \ SOFTWARE \ WanaCrypt0r \\ wd = “<directorio de trabajo de malware>”
Cambia el fondo de pantalla a un mensaje de rescate mediante la modificación de la clave del Registro siguiente:

Panel HKCU \ Control \ Desktop \ Fondo: “<directorio de trabajo de malware> \ @ @ WanaDecryptor .bmp”
Se crea los siguientes archivos en el directorio de trabajo del malware:

00000000.eky
00000000.pky
00000000.res
274901494632976.bat
@ Please_Read_Me @ .txt
@ @ WanaDecryptor .bmp
@ @ WanaDecryptor .exe
b.wnry
c.wnry
f.wnry
m.vbs
msg \ m_bulgarian.wnry
msg \ m_chinese (simplificado) .wnry
msg \ m_chinese (tradicional) .wnry
msg \ m_croatian.wnry
msg \ m_czech.wnry
msg \ m_danish.wnry
msg \ m_dutch.wnry
msg \ m_english.wnry
msg \ m_filipino.wnry
msg \ m_finnish.wnry
msg \ m_french.wnry
msg \ m_german.wnry
msg \ m_greek.wnry
msg \ m_indonesian.wnry
msg \ m_italian.wnry
msg \ m_japanese.wnry
msg \ m_korean.wnry
msg \ m_latvian.wnry
msg \ m_norwegian.wnry
msg \ m_polish.wnry
msg \ m_portuguese.wnry
msg \ m_romanian.wnry
msg \ m_russian.wnry
msg \ m_slovak.wnry
msg \ m_spanish.wnry
msg \ m_swedish.wnry
msg \ m_turkish.wnry
msg \ m_vietnamese.wnry
r.wnry
s.wnry
t.wnry
TaskData \ Tor \ libeay32.dll
TaskData \ Tor \ libevent-2-0-5.dll
TaskData \ Tor \ libevent_core-2-0-5.dll
TaskData \ Tor \ libevent_extra-2-0-5.dll
TaskData \ Tor \ libgcc_s_sjlj-1.dll
TaskData \ Tor \ libssp-0.dll
TaskData \ Tor \ ssleay32.dll
TaskData \ Tor \ taskhsvc.exe
TaskData \ Tor \ tor.exe
TaskData \ Tor \ zlib1.dll
taskdl.exe
taskse.exe
u.wnry
WannaCrypt también puede crear los siguientes archivos:

% SystemRoot% \ tasksche.exe
% SystemDrive% \ Intel \ <nombre del directorio al azar> \ tasksche.exe
% ProgramData% \ <nombre del directorio al azar> \ tasksche.exe
Se puede crear un servicio de nombre aleatorio que tiene la siguiente ImagePath asociada: “cmd.exe / c‘<directorio de trabajo de malware> \ tasksche.exe’” .

A continuación, busca en todo el equipo para cualquier archivo con cualquiera de las siguientes extensiones de nombre de archivo: 0.123, .jpeg, .rb, 0.602, .jpg, .rtf, .doc, Js, .sch, .3dm, .jsp , .sh, .3 ds, .key, .sldm, .3g2, .lay, .sldm, .3gp, .lay6, .sldx, .7z, .ldf, .slk, .accdb, .m3u, .sln,. aes, .m4u, .snt, .ai, .max, .sql, .ARC, .mdb, .sqlite3, .asc, .mdf, .sqlitedb, .asf, .mid, .stc, .asm, .mkv, .std, .asp, .mml, .sti, .avi, .mov, .stw, .backup, .mp3, .suo, .bak, .mp4, .svg, .bat, .mpeg, .swf, .bmp , .mpg, .sxc, .brd, .msg, .sxd, .bz2, .MYD, .sxi, .c, .MYI, .sxm, .cgm, .nef, .sxw, .class, .odb,. alquitrán, .cmd, .odg, .tbk, .cpp, .odp, .tgz, .crt .ods, .tif, Cs, .odt, .tiff, .csr, .onetoc2, .txt, .csv, .ost, .uop, .db, .otg, .uot, .dbf, .otp, .vb, .dch, .ots, .vbs, .der”, .ott, .vcd, .dif, p.12,. VDI, .dip, .PAQ, vmdk, .djvu, .pas, .vmx, .docb, .pdf, vob, .docm, .pem, .vsd, .docx, .pfx, .vsd x, .dot, .php, .wav, .dotm, .pl, .wb2, .dotx, .png, .wk1, .dwg, .pot, .wks, .edb, .potm, .wma, .eml, .potx, .wmv, Fla, .ppam, .xlc, Flv, .pps, .xlm, .frm, .ppsm, .xls, .gif, .ppsx, .xlsb, .gpg, .ppt .xlsm , .gz, .pptm, .xlsx, .h, .pptx, .xlt, .hwp, .ps1, .xltm, .ibd, .PSD, .xltx, .iso, .pst, .xlw, .jar,. rar, zip, .java, .raw.

WannaCrypt cifra todos los archivos que encuentre y les cambia el nombre añadiendo .WNCRY al nombre del archivo. Por ejemplo, si un archivo se llama picture.jpg , el ransomware cifra y cambia el nombre del archivo a picture.jpg.WNCRY .

Este ransomware también crea el archivo @ Please_Read_Me @ .txt en cada carpeta en la que se cifran los archivos. El archivo contiene el mismo mensaje de rescate se muestra la imagen de fondo sustituido en (ver imagen abajo).

Después de completar el proceso de cifrado, el malware elimina las instantáneas de volumen ejecutando el siguiente comando:

cmd.exe / c vssadmin eliminar sombras / todas / ShadowCopy tranquila y wmic borrar y bcdedit / set {default} bootstatuspolicy ignoreallfailures y bcdedit / set {default} recoveryenabled sin borrar y wbadmin catálogo -quiet

A continuación, reemplaza la imagen de fondo de escritorio con un mensaje.


También se ejecuta un archivo ejecutable que muestra una nota de rescate que indica un rescate $ 300 en bitcoins, así como un temporizador


El texto está traducido a los siguientes idiomas: búlgaro, chino (simplificado), chino (tradicional), croata, checo, danés, holandés, Inglés, filipina, finlandés, francés, alemán, griego, indonesio, italiano, japonés, coreano, letón , noruego, polaco, portugués, rumano, ruso, eslovaco, español, sueco, turco y vietnamita.

El ransomware también demuestra la capacidad de descifrado, permitiendo al usuario para descifrar unos archivos al azar, de forma gratuita. A continuación, recuerda rápidamente al usuario a pagar el rescate para descifrar todos los archivos restantes.



Articulo detallado: https://blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/
Leer ...

jueves, 4 de mayo de 2017

BEBIAN - COMO conectarse desde Windows al SSH LINUX con PUTTY

PUTTY en un programa que nos permite iniciar sesiones en remoto desde entorno gráfico (panel de control). Hay versiones para LINUX y Windows.

Para acceder al terminal remoto a través de la consola de comandos (terminal), simplemente tenemos que indicar la IP y tener habilitado la conexión SSH (Ver articulo).


Para ejecutar aplicaciones gráficas del equipo a controlar, necesitamos tener un emulador del entorno gráfico en nuestro Windows, puede ser el Xming, el cual podemos instalar en el sistema, o descargar un PORTABLE que podemos llevar en un USB y que contiene ya el PUTTY y el Xming. Descargar aqui.

Una vez ejecutado el PUTTY (en el portable clicamos en Start Xming+PuTTY.bat) y habilitado en el apartado X11 del SSH la opción Enable X11 (entorno gráfico), ya podremos conectarnos al terminar y ejecutar comandos de entorno gráfico, por ejemplo libreoffice, nautilus, etc que veremos en nuestra máquina.






Leer ...

viernes, 28 de abril de 2017

Descargar drivers Smart Board 680V



La página oficial de Smart no funciona desde hace meses. El formulario de descarga https://smarttech.com/es/support/browse+support/download+software+internal/smart+notebook+11+software+for+linux no funciona.

La única forma de descargar los Drivers para la pizarra Smart de la Xunta,  SMART Board 680V (SMART Notebook 11 para Linux) es a través del siguiente link: https://education.smarttech.com/en/products/notebook/download#admin

Donde disponemos también de las versiones para MAC y Windows.

Leer ...

BEBIAN - COMO copiar ficheros por ssh

SCP hace uso de SSH (Secure Shell) para hacer copias seguras y encriptadas. Es necesario haber habilitado el servicio SSH en el equipo. Consultar artículo http://www.ticgalicia.com/2017/04/bebian-como-tomar-el-control-de-un.html

COPIAR ARCHIVOS DE LOCAL A SERVIDOR (O EQUIPO REMOTO)

Si queremos subir el archivo archivo.txt de nuestro ordenador a la carpeta /home/usuario del servidor, hacemos lo siguiente:

scp archivo.txt usuario@hostname:/home/usuario

COPIAR ARCHIVOS DE SERVIDOR A LOCAL
Si queremos copiar el fichero archivo.txt del servidor a nuestro ordenador en la carpeta Documentos, hacemos lo siguiente:

scp usuario@hostname:/home/usuario/archivo.txt Documentos

COPIAR ARCHIVOS DE SERVIDOR A SERVIDOR
Para copiar un archivo de un servidor a otro, hacemos lo siguiente:

scp usuario1@hostname1:/home/usuario1/archivo.txt usuario2@hostname2:/home/usuario2/

COPIAR UN DIRECTORIO COMPLETO
Para copiar un directorio completo de mi ordenador al servidor, por ejemplo /home/mario/carpeta a /home/usuario, añadimos un -r en el comando:

scp -r /home/mario/carpeta usuario@hostname:/home/usuario

LIMITAR EL ANCHO DE BANDA
Para no sobrecargar demasiado el servidor, es posible limitar el ancho de banda de la transferencia. Con el parámetro -l podemos indicar la velocidad (en Kbps).

scp -l limite usuario@hostname:/home/usuario/archivo.txt Documentos

Bebian es una adaptación de Linux Debian 8 para usuarios que necesitan un entorno similar al que suministra la Xunta en su distribución de ABALAR. Esta distribución ha sido creada por www.tigalicia.com para hacerla compatible con equipos antiguos o de uso privado. Se trata de un Linux Debian completo que integra las aplicaciones de la distribución de ABALAR (libres).


Visita nuestro aparatado BEBIAN -COMO para aprender a personalizar o instalar mas componentes del Debian 8, y de nuestra distribución BEBIAN.
Leer ...

BEBIAN - COMO navegar por carpetas en remoto SSH

Una vez habilitado el protocolo de comunicaciones seguro SSH en el equipo a controlar (servidor) VER ESTE ARTICULO. Podemos ejecutar aplicaciones gráficas en remoto desde nuestro equipo.

Esto nos permite, por ejemplo, navegar por la estructura de carpetas de forma gráfica, o ejecutar aplicaciones gráficas en remoto.

Pasos a seguir 


1.- En el servidor, editar el archivo /etc/ssh/ssh_config y modificar la opción X11Forwarding para que quede así:

X11Forwarding yes 

Luego de este cambio, posiblemente sea necesario reiniciar el demonio ssh. La forma de hacer esto varía de acuerdo a cada distribución Linux. Lo más sencillo es reiniciar la máquina.

2.- En el escritorio local (en LINUX) , loguearse al servidor a través de SSH utilizando el parámetro -X:

ssh -X user@hostname 

Donde user es el nombre de usuario utilizado para loguearse en el servidor y hostname es el IP o el alias del servidor.

3.- Para ejecutar una aplicación, simplemente hay que hacerlo desde el terminal. Por ejemplo:

nautilus

Nautilus es el navegador de carpetas (explorador de carpetas en Windows).

Trusted X11 forwarding 


Al habilitar Trusted X11 forwarding es posible acelerar un poco la velocidad de conexión, ya que se evitan algunos pasos vinculados a la seguridad de la misma. En caso de que la velocidad sea más importante que la seguridad, todo lo que hay que hacer es lo siguiente:

1.- En el servidor, editar el archivo /etc/ssh/ssh_config y modificar la opción ForwardX11Trusted para que quede así:

ForwardX11Trusted yes 

2.- En el escritorio local, loguearse al servidor a través de SSH utilizando el parámetro -Y:

ssh -Y user@hostname 

Compressed X11 forwarding 


En aquellos escenarios en los que la conexión entre el servidor y el cliente no sea la mejor, es posible comprimir los datos enviados por el servidor.

Para ello, a la hora de loguearse al servidor vía SSH hay que agregar el parámetro -C:

ssh -X -C user@hostname



Bebian es una adaptación de Linux Debian 8 para usuarios que necesitan un entorno similar al que suministra la Xunta en su distribución de ABALAR. Esta distribución ha sido creada por www.tigalicia.com para hacerla compatible con equipos antiguos o de uso privado. Se trata de un Linux Debian completo que integra las aplicaciones de la distribución de ABALAR (libres).


Visita nuestro aparatado BEBIAN -COMO para aprender a personalizar o instalar mas componentes del Debian 8, y de nuestra distribución BEBIAN.
Leer ...
Designed By
Diseño tic galicia