 |
||
PELIGROSOS RANSOMWARES DE MODA ACTUALMENTE, CRYPTOLOCKER, CTBLOCKER Y TESLACRYPTmsc hotline sat Friday, May 1, 2015 Conviene tener cuidado con todos los malwares que pululan por internet, pero especialmente por los que se reciben por correo electrónico, que a pesar de haber avisado repetidamente de sus continuas variantes y peligrosas consecuencias (cifrado de los ficheros de datos de la red a la que tienen acceso, incluido servidor), no paran las incidencias de los usuarios con los mismos. Sirva este aviso para recordar una vez mas y concienciar mas si cabe sobre dichas tres familias de ransomwares, de los que ofrecemos enlaces a noticias significativas de ellos, aunque se nos pueda considerar de cansinos por la insistencia en el particular, pero poco importa si con ello conseguimos evitar infecciones y efectos consecuenctes de dichos malwares. 1.- CRYPTOLOCKER Empezamos con el CRYPTOLOCKER, que actualmente es del que recibimos mas incidencias de usuarios afectados, y está llegando en un falso mail de Correos que avisa de una carta certificada..., como ya hemos indicado una infinidad de veces, pero del que, a pesar de ello, continuamente hay usuarios que caen en su trampa: http://www.satinfo.es/blog/2015/nueva-variante-de-ransomware-cryptolocker-recibido-en-falso-mail-de-correos/ El codificado que utiliza el hacker en este caso es un RSA 2048 asimetrico, sin posibilidad de decodificación sin la llave que posee el hacker, diferente para cada infección, aunque con algunas variantes del mismo se pueda recuperar la información a partir de las copias que hace automáticamente el SHADOWCOPY en windows7 (no en XP, ni en servidores, que aunque esté disponible en estos últimos dicha aplicación, no está activa por defecto). Ver información de ello en: http://www.satinfo.es/blog/2015/muy-importante-posible-recuperacion-de-ficheros-cifrados-con-el-cryptolocker-torrent-en-windows-7-y-similares/ Y claro está, siempre cabe, durante los primeros dias de la infección, recurrir al pago del rescate, aunque no sea recomendable por secundar los interesas del hacker, pero siempre lo mas eficaz es restaurarlos a partir de la copia de seguridad, una vez eliminado el virus, para lo cual debe arrancarse en MODO SEGURO y lanzar el ELISTARA si ya lo detecta, y sino enviarnos muestra del fichero que indiquemos para controlarlo, tras analizar el informe del SPROCES. Cabe indicar que los ficheros cifrados por él, son marcados por el añadido de la palabra ".encrypted" a su extensión. 2.- CTBLOCKER El segundo es el del que estamos recibiendo mas cantidad de nuevas variantes (del orden de 8 y 9 cada día) y que lógicamente los antivirus no detectan hasta que reciben muestras de los afectados, es el CTBLOCKER, que acostumbra a llegar en mails muy escuetos que anexan un fichero empaquetado .CAB que contiene un .SCR, cuya ejecución instala en carpeta temporal un EXE, que es el que acaba haciendo la faena de cifrado de los documentos de toda la red a la que puede acceder. Ver información del último de ellos: http://www.satinfo.es/blog/2015/recibida-una-ultima-variante-de-ctblocker-apenas-controlada-por-los-actuales-av-solo-3-de-55av/ Al igual que en el caso del CRYPTOLOCKER, puede probarse alguna de las posibilidades de recuperación de los ficheros cifrados por dichos ransomwares, lo cual ya ofrecimos en su día y de lo cual indicamos enlace a dicha información: http://www.satinfo.es/blog/2015/ante-la-proliferacion-de-incidencias-con-el-dichoso-cryptolocker-ofrecemos-enlaces-a-noticias-ya-publicadas-sobre-posible-recuperacion-de-ficheros-cifrados/ E igualmente que en el caso anterior, aparte de poder recurrir al pago del rescate, siempre lo mas recomendable es restaurarlos a partir de la copia de seguridad, una vez eliminado el virus, para lo cual debe arrancarse en MODO SEGURO y lanzar el ELISTARA si ya lo detecta, y sino, enviarnos muestra del fichero que indiquemos para su control, tras analizar el informe del SPROCES. Cabe indicar que los ficheros cifrados por él, son marcados por el añadido de una palabra aleatoria como ".BULPKHJ" a su extensión. 3.- TESLACRYPT Este es el ransomware que codifica con un simple AES 256, simétrico, (aunque en su POPUP indique que lo hace con RSA2048, lo cual es una simple copia de la ventana del CRYPTOLOCKER), 
y que gracias a lo cual y a que la clave utilizada es guardada en un fichero del ordenador infectado, se puede recuperar la información perdida con utilidades disponibles en internet, como el TESLADECRYPT.EXE: http://www.satinfo.es/blog/2015/noticion-disponible-herramienta-para-descifrar-el-teslacrypt/ ver opciones de dicha utilidad: ______________ Here is the list of command line options: /help – Show the help message /key – Manually specify the master key for the decryption (32 bytes/64 digits) /keyfile – Specify the path of the “key.dat” file used to recover the master key. /file – Decrypt an encrypted file /dir – Decrypt all the “.ecc” files in the target directory and its subdirs /scanEntirePc – Decrypt “.ecc” files on the entire computer /KeepOriginal – Keep the original file(s) in the encryption process /deleteTeslaCrypt – Automatically kill and delete the TeslaCrypt dropper (if found active in the target system) ______________ La última muestra que recibimos de este malware ya está controlada con el ELISTARA actual, además de que los antivirus McAfee y Kaspersky tambien lo controlan: http://www.zonavirus.com/noticias/2015/nueva-variante-de-ransomware-teslacrypt-que-pasamos-a-controlar-con-elistara-3219.asp En su caso, los ficheros cifrados por él, son marcados por el añadido de la palabra ".ECC" Sirva esta exposición de los tres ransomwares mas activos del momento, para que los usuarios se conciencien de los peligros existentes en los correos electrónicos que se reciben de cualquier parte, aunque sea de un conocido o bajo el falso nombre de una empresa conocida (CORREOS, UPS, DHL, etc), y que deben aplicarse la norma de NO EJECUTAR ARCHIVOS ANEXADOS A MAILS NO SOLICITADOS, ni pulsar en enlaces ni imagenes de los mismos !!! Esperamos que lo indicado les sea de utilidad. saludos ms, 1-5-2015 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|