• Registrarse
  • Iniciar sesión


  • Página 1 de 3 123 ÚltimoÚltimo
    Resultados 1 al 10 de 21

    Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Correos

    Alerta: Nuevo ataque masivo de #CryptoLocker distribuido a través de falso email de @Correos Una masiva infección que se está produciendo mediante CryptoLocker , una familia de ransoms cuyo modelo de negocio se basa en ...

          
    1. #1
      Redactor Avatar de Pacman
      Registrado
      abr 2005
      Ubicación
      Silicon Valley
      Mensajes
      1.749

      Mensaje Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Correos

      Alerta: Nuevo ataque masivo de #CryptoLocker distribuido a través de falso email de @Correos


      Una masiva infección que se está produciendo mediante CryptoLocker, una familia de ransoms cuyo modelo de negocio se basa en la extorsión al usuario.

      El ataque se produce a través de un correo electrónico que simula ser de Correos y que nos avisa de que no nos han podido entregar una carta certificada. Para saber más acerca de ese envío tenemos, cómo no, que pinchar en un enlace del email.


      Al hacerlo, nos envía a otro site en el que nos avisa de que, para saber más sobre la carta, tenemos que introducir un código Captcha.


      Al hacerlo, nos descargamos un troyano que encriptará todos los archivos de nuestro ordenador.


      Consejos para evitar CryptoLocker
      • Extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos o con enlaces externos.

      • Desactivar la política de Windows que oculta las extensiones conocidas también ayudará a reconocer un ataque de este tipo.

      • Es muy importante tener un sistema de backup de nuestros ficheros críticos, lo que nos garantiza que no solo en caso de infección podamos mitigar el daño causado por el malware, sino que también nos cubrimos ante problemas del hardware.

      • Si no tenemos un backup y nos hemos infectado, no recomendamos el pago del rescate. Esta nunca debería ser la solución para recuperar nuestros ficheros, ya que convierte este malware en un modelo de negocio rentable, lo que impulsará el crecimiento y la expansión de este tipo de ataque.




      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Cor

      Al parecer esta nueva campaña de infección masiva de CryptoLocker, está siendo enviada de forma personalizada a listas de correos electrónicos robados de usuarios de España principalmente (aunque no se descarta que se siga propagando a futuro) donde se incluye el nombre y apellido del destinatario bajo el asunto: usted tiene una carta certificada.


      Ya nos están reportando los primeros casos de los infectados en este post en el foro: Virus nuevo de COrreos24 Cryptolocker

      A quienes lamentablemente tengo que informarles, que por el momento, NO hay forma de poder descifrar/recuperar los archivos cifrados/bloqueados por esta nueva variante del ransomware CryptoLocker

      Las opciones a probar si no se cuenta con una copia de seguridad externa, es ver si se tenía activada y funciona la función de "Restaurar el Sistema" o probar archivo pro archivo en sus propiedades si cuenta con una "Versión Previa" que te permita restaurar... de lo contrario no hay forma de recuperarlos.

      El mejor camino como siempre decimos es la prevención, con copias de seguridad (backups) externos para la data importante.

      Estaremos actualizando este post con cualquier novedad respecto a esta nueva variante.
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de a_abulafia
      Registrado
      feb 2010
      Ubicación
      spain
      Mensajes
      299

      Re: Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Cor

      En la web sobre seguridad informática Security By Default, algunos de los afectados en empresas han conseguido recuperar archivos utilizando la herramienta "shadow Explorer" (ShadowExplorer.com - About).

      En realidad, esta herramienta lo único que permite es poder acceder manualmente, como si de un explorador de archivos se tratara, a las "shadow copies" o puntos de restauración de Windows. Evidentemente, para ello es necesario que previamente estuviera activado el sistema "volumen shadow copies" encargado de crear puntos de restauración del sistema de los que se puedan rescatar las copias de los archivos que el ransomware haya cifrado.

      No obstante, parece que si cuando el proceso de cifrado comienza no se apaga el equipo y el ransomware consigue terminar su labor, se han dado casos en que aparentemente también ha borrado o corrompido las "shadow copies" para evitar este sistema de recuperación.

      Por cierto, ¿alguien puede aclararme qué vulnerabilidad explota este ransomware para lanzar el cifrado? ¿Es necesario que la victima ejecute algún archivo o no? Lo pregunto por si hay alguna forma de prevenirlo (en la web anterior recomiendan instalar "anti ransom" http://www.security-projects.com/?Anti_Ransom como prevención, pero no encontrado más información detallada)

    4. #4
      Usuario Avatar de GBE90
      Registrado
      nov 2007
      Ubicación
      Venezuela
      Mensajes
      670

      Re: Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Cor

      Muy buena informacion, hay que estar preparados para virus de este tipo anexo el link a virustotal que es de mucha ayuda:
      https://www.virustotal.com/es/file/0...fefd/analysis/

      MD5 00cb45c4efd4053cef8bb8567dc0638e
      SHA1 db0793c3b395697495e89460c35b0b3947c028f1
      SHA256 005d62ccb914fe69ed4795a68a2ec0c679e4713c50a73d90524b7bac1240fefd

    5. #5
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Cor

      Cita Originalmente publicado por a_abulafia Ver Mensaje
      Por cierto, ¿alguien puede aclararme qué vulnerabilidad explota este ransomware para lanzar el cifrado? ¿Es necesario que la victima ejecute algún archivo o no? Lo pregunto por si hay alguna forma de prevenirlo (en la web anterior recomiendan instalar "anti ransom" http://www.security-projects.com/?Anti_Ransom como prevención, pero no encontrado más información detallada)
      En este caso específico no explotaba ninguna vulnerabilidad, sino que como bien dice el primer post de la noticia, el usuario tiene que ingresar primero al enlace del email falso que supuestamente viene desde @Correos, luego de ingresar un número y se descargara un archivo que estara disfrasado como si fuera un PDF con nombre "Mensaje.PDF", pero que en realidad es un ejecutable .EXE el que al darle clic comenzara rápidamente a cifrar todos los archivos de todas las unidades que encuentre en el sistema.

      Como prácticamente no hay forma de desbloquear/descifrar los archivos encriptados por el Ransomware de este estilo, lo que siempre se recomienda es la prevención y herramientas como Anti_Ransom de SbD al igual que CryptoPrevent pueden evitar muchas de las variantes conocidas de estos rasoms, pero lo mejor es tener una buena política de Backus externos en la empresa.




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de a_abulafia
      Registrado
      feb 2010
      Ubicación
      spain
      Mensajes
      299

      Re: Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Cor

      Cita Originalmente publicado por ElPiedra Ver Mensaje
      En este caso específico no explotaba ninguna vulnerabilidad, sino que como bien dice el primer post de la noticia, el usuario tiene que ingresar primero al enlace del email falso que supuestamente viene desde @Correos, luego de ingresar un número y se descargara un archivo que estara disfrasado como si fuera un PDF con nombre "Mensaje.PDF", pero que en realidad es un ejecutable .EXE el que al darle clic comenzara rápidamente a cifrar todos los archivos de todas las unidades que encuentre en el sistema
      Muchas gracias. Aún dentro de la gravedad, es bueno saber que no depende de una vulnerabilidad sino de la confianza y descuido del usuario al abrir un ejecutable camuflado de PDF.

      Por lo que se comenta por la red, algunos usuarios han pagado el rescate y han conseguido reponer los archivos cifrados. Me pregunto ahora si, en caso de ser cierto, no podría usarse la herramienta entregada para revertir el cifrado en otros equipos con el mismo problema.

      No sé si estoy dicendo una tontería pero, aunque la clave de cifrado fuese única para cada equipo, ¿no se podría tratar de hallar el algoritmo empleado para cifrar a través del estudio de la herramienta de descifrado por la que algunos han pagado?

      Y segundo: una vez que el sistema ha sido comprometido, ¿se puede confiar en que, además del cifrado, el malware no haya atacado o modificado u ocultado algo en algún otro área sensible que más tarde pueda crear nuevos problemas de seguridad? Si se ha sufrido el cifrado por causa del ataque, ¿no sería lo más recomendable pensar en restaurar completamente esos sistemas , aún habiendo recuperado los archivos cifrados? O puede que yo sea demasiado paranoico con estos temas...

    7. #7
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Cor

      Cita Originalmente publicado por a_abulafia Ver Mensaje
      Por lo que se comenta por la red, algunos usuarios han pagado el rescate y han conseguido reponer los archivos cifrados. Me pregunto ahora si, en caso de ser cierto, no podría usarse la herramienta entregada para revertir el cifrado en otros equipos con el mismo problema.

      No sé si estoy dicendo una tontería pero, aunque la clave de cifrado fuese única para cada equipo, ¿no se podría tratar de hallar el algoritmo empleado para cifrar a través del estudio de la herramienta de descifrado por la que algunos han pagado?
      No, esto no es posible y básicamente porque en esta variante de CryptoLocker, la cual en realidad es una nueva variante del ransomware TorrentLocker disfrazado, a pesar de usar un cifrado XOR para los ficheros mediante una clave (keystream) de 2 MB que genera a partir de una semilla, como lo hacía en su versión anterior, ahora introduce una modificación adicional de cifrado AES 256 el cual genera una clave única para cada equipo infectado.

      En otras palabras, cuando yo pago por mi equipo infectado por TorrentLocker tengo que enviar un archivo de muestra el cual con ese los ciberdelincuentes detrás de este pueden identificar y enviarme el desncriptadores específico únicamente para mis archivos y que no va a servir para nadie más.



      Cita Originalmente publicado por a_abulafia Ver Mensaje
      Y segundo: una vez que el sistema ha sido comprometido, ¿se puede confiar en que, además del cifrado, el malware no haya atacado o modificado u ocultado algo en algún otro área sensible que más tarde pueda crear nuevos problemas de seguridad? Si se ha sufrido el cifrado por causa del ataque, ¿no sería lo más recomendable pensar en restaurar completamente esos sistemas , aún habiendo recuperado los archivos cifrados? O puede que yo sea demasiado paranoico con estos temas...
      No, nunca se puede confiar en un malware y menos en un ciberdelincuentes... por lo que si bien no se han reportado en este caso específico, si se han visto casos anteriores de TorrentLocker en el cual convertía el equipo infectado en una Botnets el cual no solo se usaría para enviar SPAM ya que este es capaz de enviarse a los contactos en Thunderbird/Outlook, sino que también lo dejaba bajo su control.

      Por lo que obviamente dependerá de cada uno no, pero yo recomiendo una vez recuperados los archivos por la vía que sea, la recomendación sería una buena restauración/formateo general y comenzar con una política más específica en la seguridad de los equipos con copias de seguridad (backups) externos para la data importante.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de a_abulafia
      Registrado
      feb 2010
      Ubicación
      spain
      Mensajes
      299

      Re: Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Cor

      Muchas gracias otra vez por las aclaraciones.

      Es fantástico poder contar con foros como éste que permiten resolver dudas técnicas de la mano de expertos en estos temas. Además de la importante labor de prevención que hacéis por la rapidez con la que se ofrece la información actualizada.

      Un saludo y felicidades por la labor.

    9. #9
      Usuario Avatar de Chelusa
      Registrado
      dic 2014
      Ubicación
      argentina
      Mensajes
      111

      Re: Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Cor

      A varios amigos les paso, si lees bien las nota principal, hay metodos anticonceptivos xD...osea preventivos, y algunos posibilidades gracias a restauracion de sistema o mediante bkps, pero la realidad como dice el compañero mas arriba, NO HAY SOLUCION de momento, es muy lamentable, pero si todabia no fueron afectados y leen la nota es MUY IMPORTANTE que tomen sus medidas, por que la amenaza es REAL.

    10. #10
      Usuario Avatar de Hell-hound
      Registrado
      ene 2013
      Ubicación
      Peru
      Mensajes
      16

      Re: Alerta: ataque masivo de CryptoLocker distribuido a través de falso email de @Cor

      acabo de sufrir un ataque de cryptolocker por favor manténgame informado de alguna futura solución

    Página 1 de 3 123 ÚltimoÚltimo