Nos hemos hecho partner (distribuidores) de ESET, la marca de antivirus.

Para poder dar un mejor servicio a los clientes, y para poder ofrecer productos antivirus de calidad a precios competitivos, hemos decidido hacernos partners (distribuidores) de ESET. La conocida marca de seguridad informática que tiene productos tan conocidos como NOD32 o ESET EndPoint Security.

Las soluciones que ofrece esta marca permiten proteger sistemas Windows, Mac, Android o Linux.

Esto nos va permitir varias cosas:

  • Ofrecer soluciones de seguridad a nuestros clientes de empresa y particulares.
  • Ofrecer precios competitivos.
  • Tener paneles de seguridad con cada empresa, para poder controlar el estado de sus productos, actualizaciones, renovaciones, licencias, ataques, alertas etc.
  • Un soporte técnico específico de dichas soluciones de seguridad.
  • Una relación calidad/precio excelente.
  • Sistemas basados en machine learning y con las últimas tecnologías anti malware.

Podéis ver los productos que ofrecen en estos enlaces:

Si estáis interesados en alguno, no dudéis en poneros en contacto con nosotros.

Wannacry: NoMoreCry y PowerShell scripts para detectar equipos vulnerables

Seguimos con el famoso ransomware de la semana pasada. Insisto que no es nada especial, y que estos virus llevan tiempo funcionando. Este ha sido muy publicitado por los medios y por eso ha generado la alarma que ha generado. Además, si que mandaron una campaña fuerte de correos con el virus y si que ha afectado a muchas empresas y organismos en todo el mundo.

Para la gente de IT esto es fantástico, porque muchas empresas están tomando las medidas que pedíamos contra estos virus, y se está prestando la atención que pedíamos.

Hoy os queremos dejar dos soluciones que puede ayudaros.

 

  1. PowerShell Scripts para detectar equipos vulnerables.

    Para poder detectar si un equipo es vulnerable puedes o ejecutar todas las actualizaciones, o usar estos scripts que han proporcionado administradores de sistemas para hacerlo rápidamente.
    Se ejecutan desde el Power Shell, no desde cmd. Os dejamos dos (no los hemos creado nosotros, no somos responsables). Hemos usado el primero con éxito y si que funciona bien.

    a) https://gist.github.com/gavsto/b377c405c0cd3709f35ab4a1365bebab
       b) https://github.com/kieranwalsh/PowerShell/tree/master/Get-WannaCryPatchState

     

  2. NoMoreCry.

    El CCN-CERT (Centro Criptológico Nacional)  ha sacado NoMoreCry, una herramienta para prevenir la ejecución de este virus.
    A ver, me parece una respuesta al revuelo mediático. Porque ransomwares hay muchos, este sólo para WannaCry y, como dice Chema Alonso en su último artículo, cualquier programa para evitar ransomware pararía este.
    Obviamente no funciona si el virus ya está en ejecución en el sistema. Y es para equipos Vista en adelante.

    Pero bueno, si alguien lo quiere os dejo el enlace para NoMoreCry:

    https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND

    Parece ser que la herramienta bloquea la ejecución de este virus en concreto (no otros). Y que debe ejecutarse en cada reinicio.

  3. Por último, os dejamos aquí el acceso al parche que ha sacado Microsoft para los equipos XP. Pero si tenéis XP, os recomendamos encarecidamente que cambiéis de sistema operativo a uno moderno, o instaléis Linux.

Os recordamos los consejos para los virus ransomware.

Sitios para encontrar programas para limpiar virus ransomware

Ya hemos hablado mucho del ransomware, esos virus con los que, si te infectas, corres el riesgo de perder todos tus datos porque los cifra y pide un rescate.

La parte “buena” es que muchos usuarios están descubriendo, a las malas, que no pueden seguir con Windows XP (sistemas muy vulnerables) y deben tener copias de seguridad (casi el único modo real de protegerse contra el ransomware).

¿Qué hacer si te ha infectado un ransomware?

Lo más seguro es que sea una versión “nueva” de estos virus. Las  versiones nuevas no tienen cura todavía o tienen mecanismos de seguridad potentes. Así que, seguramente o tienes una copia de seguridad o estás perdido. Puedes intentar recuperar datos con herramientas de rescate de ficheros, con restaurar archivos o Shadow Explorer en verisones Windows 7 en adelante.
Pero suelen borrar estas copias.
Si tienes una copia en un Cloud suele infectarse, pero puedes restaurar los ficheros. Aunque entonces verás que seguramente tendrás que ir uno a uno en miles de ficheros.

Eso si, puedes tener suerte y que, o te ha infectado una versión antigua, o ya tiene “cura”. Así que os dejamos dos sitios fiables donde podéis buscar estas curas:

Espero que os ayude….pero recordad ¡PREVENCIÓN! Copias de seguridad, sistemas actualizados y cuidado con lo que abrís….esa es la mejor defensa.

Antivirus en Linux. ¿Es necesario tener uno? Os recomendamos alguno.

Tener o no tener un antivirus en un sistema está relacionado con el número de usuarios del mismo y si es o no rentable para los creadores de virus atacarle.

Que necesitamos un antivirus en Windows es algo obvio…puede ser debatible por expertos de seguridad, pero para usuarios básicos y medios cada capa de seguridad es una preocupación menos.
También os hemos explicado varias veces que, con la creciente popularidad de Mac, es muy recomendable tener un antivirus en ese sistema. Los “malechores” saben que cada día hay más usuarios de la manzana, y se han convertido en un objetivo deseable.

¿Es necesario un antivirus en Linux? Buena pregunta. De los tres sistemas operativos más importantes, este puede ser el que menos lo necesite. Por varias razones:

    • Menor cuota de mercado (desgraciadamente).
    • Mayor seguridad. La arquitectura del propio sistema impide bastante los accesos maliciosos. No es fácil conseguir permisos root.
    • Manera de instalar programas: En linux normalmente se instalan por repositorios…y eso es otro filtro de seguridad.
    • La mejor seguridad es el usuario: Con un buen firewall, sabiendo dónde pinchar, actualizando el sistema, sin entrar en sitios raros, no tendremos virus o malware. Además, si entra por agujeros de seguridad…no hay antivirus que valga.


clamav

Aún así recomendamos un antivirus, ¿por qué? Por las siguientes razones:

  • Si trabajas con un sistema Linux, vas a compartir archivos con gente de otros sistemas. No trabajas sólo ni vives aislado. Los virus o malware no te afectarán a ti, pero puedes tener archivos infectados que afecten a otros usuarios. Puede haber quien diga “a mi me da igual”, pero en una empresa, un autónomo o PYME eso no es razonable. Ni siquiera entre familiares o amigos.
  • La mayoría de los antivirus de Linux o no están residentes o tiene poca carga en el sistema. No te va a influir en el rendimiento.
  • Más seguridad no hace daño a nadie. No te cuesta nada.
  • Es recomendable tenerlo y usarlo cuando:
    – Conectes memorias USB, tarjetas de memoria etc de otros ordenadores.
    – Conectes discos duros externos.
    – Te conectes por red a otros sistemas.
    – Escanear de vez en cuando tus Documentos o Escritorio.

¿Qué antivirus recomendamos?

El más conocido y más usado es sin duda ClamAV. Está en casi todos los repositorios, lleva años como antivirus de Linux, y lo puedes instalar sin que te quite rendimiento porque no se queda residente. Analiza sólo bajo petición  pero puede limpiar (cuidado con los falsos positivos).

Otras marcas famosas han sacado ya antivirus para Linux como el Avast Linux Home,  o la versión de Linux de Sophos.

Así que si queréis estar más seguro…instalar al menos ClamAV. Otro día hablaremos del malware y los rootkit en Linux.

 

 

Limpiar el virus de la policía y similares (widebrowdroid etc) en Android

El famoso virus de la policía que tantos quebraderos de cabeza dio en los PC ha llegado a los móviles Android. Afortunadamente no es tan agresivo todavía como su hermano mayor, y suele ser más parecido a los otros que estamos viendo mucho, el spyware en los iphone.

Los síntomas son sencillos, intentas abrir el navegador y te sale un aviso sobre pornografía o virusandroidpederastia y te pide pagar una cantidad con los detalles del pago.

Solución:

Hay dos maneras principales de limpiar esta infección dependiendo del tipo que sea. Dejamos las variantes:

  • Lo primero que tienes que probar es si sólo es del navegador (el de Android normalmente). Para ello ve a Ajustes, Gestor de Aplicaciones, Todo y busca Internet.  Ahí borra los datos (se te pueden ir favoritos y páginas guardadas, y cierra el proceso.
    Vuelve a abrir el navegador, si ya no sale era sencillo.
  • Si no es el navegador prueba a desinstalar aplicaciones que hayas instalado nuevas. También instala un antivirus y/o Malwarebytes para que te escanee las aplicaciones. Seguramente sea una de ellas.
  • Otro modelo de este virus te da sólo 5 segundos entre cada aviso y no te deja tiempo para desinstalar. La solución es arrancar en modo seguro. Si tu versión de Android es “pura” esta opción viene al apagar o al arrancar el teléfono. Si no tienes que mirar en Google cómo arrancar en Modo Seguro en tu teléfono. Por ejemplo en los Samsung es dar volumen abajo cuando aparece la pantalla de Samsung.
    En modo seguro haz los pasos anteriores (limpia los datos de Internet y/o desinstala aplicaciones inseguras). Al reiniciar el teléfono arranca normal y debería estar arreglado.

Prevención: unos consejos para evitar estas infecciones.

  • Cuidado con donde pinchas.
  • NO instales aplicaciones de las que no estés totalmente seguro, incluso si son de Google Play (y más si no lo son).
  • Instala un antivirus para Android.
  • Instala Malwarebytes para Android.
  • No uses el navegador original de Android, no suele actualizarse. Es mejor Chrome, CM Browser, Firefox etc que al actualizarse tienen mejor medidas de seguridad.
  • Ten copia de los contactos o lo más importante en la nube o en tu ordenador.

 

KillEmAll: elimina todos los procesos excepto los esenciales para Windows

Cuando estamos eliminando malware en un ordenador, a veces no nos deja instalar herramientas de limpieza (antivirus, antimalware etc). El “bicho” está funcionando y corta cualquier programa.

En estos casos lo mejor es o engañar al “bicho” o parar su proceso para poder ejecutar las herramientas de limpieza. Pero no siempre es fácil.

Para estos casos está KillEmAll (mátalos a todos), un programa que lo que hace es parar todos los procesos excepto los esenciales para que Windows siga funcionando.  Evidentemente no es infalible, puede que tampoco pueda ejecutarse (limpiar un malware peleón suele ser una lucha entretenida) pero es algo más que probar.

En la página de descarga: http://www.foolishit.com/vb6-projects/killemall/  tenéis instrucciones de cómo ejecutarlo para que pueda parar procesos (pero con darle permisos de administrador vale).

 

Reglas GPO para evitar los virus ransomware. Cryptoprevent

Ya llevamos unos días hablando de los virus ransomware, porque la verdad es que están aumentando la complejidad en sus formas de acceder a los ordenadores y, una vez dentro, están causando estragos.

Afortunadamente muchos expertos en seguridad están trabajando a marchas forzadas para sacar decrypters para recuperar los archivos encriptados….pero todavía no hay para muchas variantes. Y las variantes mutan y mejoran cada semana.
Aquí podéis ver una entrevista a Chema Alonso al respecto.

La mayoría de los antivirus y antimalware actualizados puede encontrar estos virus e incluso limpiarlos (aunque cuidado porque si pinchas donde no debes pueden entrar y hacer su trabajo antes de que se limpie).

¿Cómo evitar entonces que entren? La respuesta es teniendo cuidado y cierta información sobre cómo usar el ordenador. Si el usuario pincha donde no debe no hay solución…el virus entra. Sin embargo si que se pueden tomar ciertas medidas para disminuir el riesgo. No son 100% efectivas porque según se van desarrollando los virus van tomando medidas para esquivarlas. Pero es bueno hacerlo.

Una de ellas (la de hoy) son las reglas GPO o políticas en el ordenador que prohíben que los programas (.exe o parecidos) se ejecuten desde ciertas rutas “raras”. Si la infección se descarga desde internet o correos, suelen meterse en carpetas temporales del ordenador. Podemos hacer que no se puedan ejecutar programas desde ahí mediante estas reglas.

¿Qué reglas hay que poner? La dificultad de esto es que varían, pero las principales rutas a bloquear son:
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Users\<User>\AppData\Local\<random>.exe (Vista/7/8)
C:\Documents and Settings\<User>\Application Data\<random>.exe (XP)
C:\Documents and Settings\<User>\Local Application Data\<random>.exe (XP)
%Temp%
C:\Windows

Obviamente hay programas legítimos que usan esas rutas, y esos hay que dejarles pasar, por lo que no recomendamos el Método 1: modo manual. Aún así si queréis hacerlo (por ejemplo en un dominio) aquí tenéis más información. Recordad que en las versiones Home de Windows no tenéis el editor de políticas de grupo y tenéis que usar el segundo método que recomendamos.

Método 2:CryptoPrevent.

La gente de Foolish IT ha sacado un programa para automatizar las reglas de restricción de software que además sirve para las versiones Home Edition: CryptoPrevent.Las versiones de pago (os las recomendamos) tienen además la ventaja que se van actualizando cada cierto tiempo para prevenir las mutaciones del virus.
Aún así las versiones gratis del programa son excelentes. Tienes varios modos de instalación (recomendamos el avanzado), permite la desinstalación automática y permite añadir programas al whitelist para que se puedan ejecutar. Además en las sección de Blacklist vemos las reglas que ha puesto.

Este programa, aunque no es una prevención 100% eficaz es algo básico que debería instalarse en todos los ordenadores porque además previene otro tipo de infecciones de malware. Nosotros lo estamos instalando en todos los ordenadores de los clientes.

 

 

 

 

Si tienes un portátil Lenovo con Superfish instalado DESINSTÁLALO.

Ha sido la noticia de la semana en el mundo informática, se ha descubierto que una marca tan importante como Lenovo (con excelentes ordenadores) instalaba un programa adware que podía permitir ataques “man in the middle” por https. El programa se llama Superfish.El certificado raíz de Superfish permite crear certificados (falsos) para cualquier dominio, certificados que el ordenador infectado acepta (y por lo tanto es vulnerable a ataques).

Los posibles ordenadores infectados son:

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45, G40-80
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch 
Y Series: Y430P, Y40-70, Y50-70, Y40-80, Y70-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70, Z70-80
S Series: S310, S410, S40-70, S415, S415Touch, S435, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 Pro, Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11, MIIX 3 1030
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11, YOGA3 Pro
E Series: E10-30
Lenovo Edge 15 

Si tienes un portátil Lenovo aconsejo que vayas a “Agregar y quitar programas” (Programas y características etc dependiendo de la versión) y mires si tienes algo de Superfish. Si es así desinstálalo y sigue las instrucciones de estos enlaces para quitar el certificado raíz.

También puedes comprobar si tienes Superfish aquí.

Instrucciones oficiales de Lenovo:

-http://forums.lenovo.com/t5/Lenovo-P-Y-and-Z-series/Removal-Instructions-for-VisualDiscovery-Superfish-application/ta-p/2029206

-http://support.lenovo.com/us/en/product_security/superfish_uninstall

Detalladas en inglés, detalladas en español.

Lenovo tambíen ha sacado en este enlace una herramienta para desinstalar Superfish automáticamente.

 

Escanners online de Malware gratuitos para páginas web

¿Os preguntáis cómo se os infectan los ordenadores? Muchas veces por navegar en páginas infectadas. Por lo tanto los que tenemos o administramos páginas web tenemos que ser doblemente cuidadosos con su seguridad. No sólo nos pueden entrar para conseguir datos (usuarios/claves etc) sino para poner código que infecte ordenadores.

Además los ataques a las web no paran, si tienes un firewall podrás ver como están todo el rato intentado atacar tu web (hay gente que se aburre). El día 24 sin ir más lejos, por la tarde, estuvimos parando unos intentos de atacar una página de WordPress desde Rusia.

¿Qué puede hacer si tienes una página web? Sobre todo analizarla cada cierto tiempo y mantenerla actualizada (código y plugins). Es una de las razones por las que ahora recomiendo dinámicas sobre estáticas, porque podemos hacer que se actualicen solas, instalar firewall, programas de seguridad (alguno más pondremos pronto) etc etc. Como curiosidad os dejo algunos consejos para mantener WordPress seguro (muchas de estas cosas las hacen los plugins de seguridad, dentro de unos días os daremos alguno más).
Eso si, si una persona con conocimientos se pone cabezota, al final entra.

Por esta razón Google está ahora muy serio y en seguida saca el aviso de “página infectada” si detecta algo. Y hace bien, es bueno tanto para usuarios como para administradores.

¿Qué puedo hacer si se ha infectado la página? Limpiarlo obviamente. Lo primero es ver qué se ha infectado. La herramienta para Webmasters de Google da alguna indicación, pero para hacer un mantenimiento preventivo o comprobarlo también están estos analizadores o escanners online gratuitos que os dejo.
Nota: no detectan todo…pero por ejemplo si lo que Google detecta.  Eso si recomiendo siempre luego seguir analizando tanto con un antivirus en el servidor, como descargando la web y analizándola con un antivirus o con VirusTotal, o con plugins de seguridad.

Estas herramientas las podéis usar tanto en webs estáticas como dinámicas.  No limpian pero te dicen dónde está el error.

  • Sucuri: de los más famosos, fiables y recomendado incluso por Google. Pon tu web en la casilla, dale a analizar y te dice si tienes enlaces no fiables, código insertado, ficheros etc.  Gracias a ella pudimos encontrar ficheros de malware y código insertado en el header.
    Tiene plugins para WordPress interesantes de los que hablaremos.
  • VirusTotal: el gran analizador online de ficheros con muchos motores también analiza webs. Lo va haciendo cada cierto tiempo y si quieres puedes ver el último análisis o forzarle a que haga uno. Te da los resultados de unos 50 motores distintos.
  • Quttera: Otro analizador que también tiene plugins para WordPress y es sencillo de usar.

Así que si tenéis páginas web recomiendo analizarlas cada cierto tiempo con estas herramientas. Sólo detectan malware de clientes, no backdoors etc. Por eso si está infectada es un primer paso, después de limpiar lo que estas detecten recomiendo analizar la web con un antivirus fichero por fichero, borrar caches, usar una copia de seguridad o instalar plugins de seguridad que analicen bien la web.

Por cierto…cada día es más importante tener un firewall en las webs para evitar estas cosas.

Antivirus gratis para empresas

Como trabajamos con PYMES, muchos nos preguntan qué antivirus instalar. Los particulares tienen muchas opciones (Avast de las mejores), pero las empresas no deberían usar los que sólo tienen licencia para uso doméstico. Aunque muchos lo hagan.

Creo que hay empresas que nos permiten usar grandes productos para casa, y piden una pequeña licencia para las empresas. Se debería pagar como “recompensa”, o al menos no usarlos.

Además, es importantísimo tener un antivirus, pero no suficiente. La mayoría de las infecciones vienen ahora por malware, spyware etc. Así que no es necesario tener el mejor antivirus.

Os dejamos algunas opciones para aquellas empresas que quieran “ser legales” (porque no cuesta nada) y quieran usar antivirus gratis con licencia de empresas.

1. Comodo Antivirus.

Sinceramente de los mejores que he visto en este apartado. Tarda en descargarse, a veces es un poco demasiado restrictivo, pero es potente, con muchas opciones y se pueden desactivar las funciones más fuertes (como el sandbox).
Su licencia de uso dice que se puede usar (“Comodo Security Software. Comodo Internet Security (CIS) may be used royalty-free for both commercial and personal use. CIS includes the Comodo Firewall and Antivirus products.“). Nosotros llegamos a consultarles hace unos años y nos lo confirmaron.

Es el que recomendaríamos para ordenadores de empresa normales. Sólo nos ha dado algún problema con algún ordenador con gráfica ATI. Y no es para ordenadores pesados.

2. Nano Antivirus:

Un antivirus que aunque, aunque está en fase beta, está bastante bien. Une potencia con uso de pocos recursos.  Lo recomiendo para ordenadores medio-bajos.
Como podéis ver en sus FAQ (la 16) se puede usar en empresas.

3. Immunent.

Antivirus muy ligero para ordenadores con pocos recursos. No es muy potente pero si que tira poco de los recursos. Está basado en Clamav pero con tecnología cloud. La propio empresa recomienda usarlo con otro antivirus, así que mejor para entornos no de riesgo.
Es gratuito para particulares y empresas.

4. Clamwin.

Otro gratuito y bastante usado (basado en Clamav), tiene la gran desventaja de no tener análisis en tiempo real. Es decir para que escanee tenéis que ejecutar vosotros el análisis. Por lo mismo no usa recursos.