• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 14

    CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

    CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno La familia del infame ransomware CryptoWall está de vuelta, la encriptación de los archivos se realiza mediante la instalación de un falso AV ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.597

      CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno


      La familia del infame ransomware CryptoWall está de vuelta, la encriptación de los archivos se realiza mediante la instalación de un falso AV para proteger los datos.

      "El proyecto CryptoWall no es malicioso y no pretende hacer daño a una persona ni a sus datos de información. El proyecto se lleva a cabo con el único propósito de mejorar la instrucción en el campo de la seguridad de la información, así como en la certificación de los productos antivirus para proteger mejor sus datos. Juntos hacemos de Internet un lugar mejor y más seguro”.

      Esta vez, se pide a los usuarios a pagar $ 700 dólares en Bitcoins (BTC) 1.83. CryptoWall, está activo desde abril del 2014 en tres versiones conocidas, causando más de $ 1 millón en pérdidas cada mes, de acuerdo con reportes federales.

      Los investigadores de Bitdefender analizaron una muestra de la cepa y vieron diferencias claras entre CryptoWall 4.0 y sus predecesores.

      En términos de propagación, CryptoWall parece emplear los mismos métodos de distribución de correo electrónico, como antes, a través de mensajes de correo electrónico infectados.




      Figura 1. Correo electrónico spam infectado por CryptoWall

      El malware muestra un mensaje de rescate rediseñado e infecta nuevas extensiones de archivo, pero el cambio más notable es que CryptoWall 4.0 ahora codifica los nombres de los archivos. El nombre de cada archivo se convierte en una cadena aleatoria de caracteres, mientras que el nombre original del archivo está escrito en su interior. El archivo completo se cifrará. Esto hace que el reconocimiento de los archivos sea casi imposible, siendo la frustración de los usuarios mucho mayor.




      Fig. 2 Documentos infectados con versiones anteriores a CryptoWall 4.0



      Fig 3. Documentos cifrados con CryptoWall 4.0

      Después de que se instale y cifre los archivos, el malware muestra una nota de rescate en tres formatos: HTML, TXT y PNG. El mensaje es notablemente diferente de las versiones anteriores: más extensos, menos alarmantes y con un toque de ironía.



      Figura 4. Nota de rescate en HTML después de la infección

      Después de instruir a los usuarios sobre el cifrado, los hackers también dejan en claro que cualquier intento de restaurar los archivos con herramientas de terceros puede ser fatal para los archivos cifrados. Dicho metafóricamente, los archivos dañados son como piezas desaparecidas del rompecabezas, la imagen nunca estará completa otra vez.

      Para preservar el anonimato, el ransomware pide a los usuarios pagar el rescate a través de una dirección mediante Tor. Los atacantes también advierten a los usuarios de que las soluciones AV son "culpables", si se eliminan las instrucciones, es decir, el bloqueo del virus. En este caso, se ha establecido un plan B – con otro conjunto de instrucciones de cómo instalar Tor.

      El mensaje recomienda que el pago se debe completar en 2 o 3 días, en caso de la eliminación de los enlaces.

      CryptoWall 4.0 continúa utilizando el mismo servicio de descifrado web que las versiones anteriores. Desde ese sitio una víctima puede hacer los pagos, averiguar el estado del pago, conseguir el descifrado de un archivo gratuitamente, y crear solicitudes de apoyo.



      Fig. 5 Servicio de descifrado y pago web.

      Los estándares de cifrado empleados parecen seguir siendo el mismo - RSA-2048 - un algoritmo de cifrado fuerte que hace que el descifrado sea imposible.

      La investigación de Bitdefender está en curso y se darán a conocer más detalle pronto.

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      Muy interesante esta nueva variante "irónica" de CryptoWall 4.0 por su mensaje de que "Juntos hacemos de Internet un lugar mejor y más seguro”.

      Aparte de la nueva particularidad que se comenta en la nota de que ahora cambia los nombres originales de los archivos que cifra dejándolos irreconocibles, recordemos que tanto esta nueva versión como otras anteriores del ransomware CryptoWall ya son capaces hasta de eliminar las copias de seguridad del sistema de "Restaurar Sistema", utilizando el propio comando de Windows "vssadmin.exe Delete Shadows /All /Quiet"

      Por lo que la prevención sigue siendo la mejor forma estar protegidos frente al ransomware, manteniendo todos nuestros programas actualizados, realizando copias de seguridad (backups) de nuestra data e instalando algún Anti-Exploit o programa Anti-Ransomware

      Y la gente de BitDefender tiene también una utilidad gratuita para protección llamada:








      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Moderador
      Avatar de @JFNoda
      Registrado
      sep 2008
      Ubicación
      Islas Canarias
      Mensajes
      5.872

      Re: CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      Hola.
      Como información, y para los usuarios de HitmanPro.Alert con licencia de pago (independientemente de MBAE, aconsejado en este Foro y muy recomendado sin duda alguna), comentar que éste protege ataques del Crytowall 4.0


      Slds.
      Libraman

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      Usuario Avatar de Chelusa
      Registrado
      dic 2014
      Ubicación
      argentina
      Mensajes
      111

      Re: CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      Cita Originalmente publicado por @JFNoda Ver Mensaje
      Hola.
      Como información, y para los usuarios de HitmanPro.Alert con licencia de pago (independientemente de MBAE, aconsejado en este Foro y muy recomendado sin duda alguna), comentar que éste protege ataques del Crytowall 4.0
      Es muy buena DATA, si bien cuento con copia de seguridad, serial genial tener varias protecciones extras...mi pregunta es ...

      Yo uso Malwarebites antimalware y anti exploid....PUEDO agregar cualquiera de estas soluciones a las que ya poseo ?

    5. #5
      Usuario Avatar de StarWars9600
      Registrado
      oct 2015
      Ubicación
      asdfa
      Mensajes
      370

      Re: CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      Descargando la utilidad de BitDefender Anti-Ransonware.....

    6. #6
      Moderador
      Avatar de @JFNoda
      Registrado
      sep 2008
      Ubicación
      Islas Canarias
      Mensajes
      5.872

      Re: CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      Hola Chelusa.
      Cita Originalmente publicado por Chelusa Ver Mensaje
      Es muy buena DATA, si bien cuento con copia de seguridad, serial genial tener varias protecciones extras...mi pregunta es ...

      Yo uso Malwarebites antimalware y anti exploid....PUEDO agregar cualquiera de estas soluciones a las que ya poseo ?
      Mi consejo es que NO.
      Esto, al igual que los programas antivirus, no es recomendable.
      Lo ideal es tener este tipo de protección pero con sólo un programa. El [posible] problema es que interfieran entre ellos en protección, detección y/o eliminación de algo que detecten.

      Slds.
      Libraman

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      Retomando el tema de las herramientas Anti-Ransomware:

      • Malwarebytes Anti-Exploit: Puede protegernos del ransomware, pero principalmente en su versión PRO (de pago) que es la que protege contra archivos PDF (la versión gratuita no protege PDFs) que es por donde más se suele distribuir estos, aunque también se han detectado en sitios webs infectados en donde ahí si también la versión free nos mantiene protegidos.

      • HitmanPro.Alert 3: Es una muy buena utilidad con sistema CryptoGuard, pero también la mayor protección de este y la protección específicamente de Crypto-Ransomware es en su versión de pago. Por su similitud de escudos con MBAE, obviamente que no se recomienda tener estos dos juntos a la vez en ninguna combinación de sus versiones.

      • BitDefender Cryptowall Vaccine: La comente hoy y luego de varias pruebas no me gusto para nada. Primeramente, queda residente en memoria... ósea que si bien poco, si nos consume recursos. Luego tiene algunos problemas que a veces se apaga y no queda protegiendo desde el inicio. Y solo protege frente a CryptoWall/CryptoLocker... en una prueba con TeslaCrypt se logro infectar los archivos.

      • CryptoPrevent: Es la que actualmente tengo en banco de pruebas y es del estilo de las que más me convence para una protección extra frente al ransomware y es que se pueden aplicar diferentes políticas y restricciones a un equipo evitando así que un malware secuestrador de archivos pueda ejecutarse al igual que contar con un Sandbox (caja de arena) en donde se ejecutara el virus antes de tocar el equipo.

        No consume recursos y en su versión gratuita puede protegernos de todos los Crypto-Ransom conocidos hasta ahora, aunque al tener tantas funciones y demás, puede ser más para usuarios un poco más avanzados por si luego de aplicar este algunas cosa no funcionen correctamente.

        La única pega que le encuentro es que, si mañana sale una variante/versión nueva, hasta que no se actualice la herramienta y el usuario luego aplique el update de forma manual, no va a estar protegido correctamente.


      En conclusión: Se invierta o se aprenda a utilizar alguna herramienta gratuita, nunca deben de olvidarse de las copias de seguridad.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Moderador
      Avatar de @JFNoda
      Registrado
      sep 2008
      Ubicación
      Islas Canarias
      Mensajes
      5.872

      Re: CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      Hola.
      Gracias @Marcelo por la aclaración detallada de los diferentes programas

      Uso kaspersky IS + HitmanPro.Alert con licencia pero lo que he aprendido en los años que llevo en esto es lo que bien dice @Marcelo al final.
      Cita Originalmente publicado por @MarceloRivero Ver Mensaje
      En conclusión: Se invierta o se aprenda a utilizar alguna herramienta gratuita, nunca deben de olvidarse de las copias de seguridad.
      Y siempre en un dispositivo externo no conectado al equipo excepto para hacer las copias, añado.

      Slds.
      Libraman

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      Usuario Avatar de Mario50073
      Registrado
      ene 2014
      Ubicación
      México.
      Mensajes
      334

      Re: CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      Me llego una duda retentiva tras leer esta noticia...

      La cual es ¿Si un dispositivo (Una SD seria un buen ejemplo) se encuentra en modo de lectura y tiene archivos... esta es imposible de modificar o encriptar sus archivos?(Me refiero a los ransomwares, etc... Que aveces tardo en acomodar bien las cosas) (Necesito aprender mas de hardware para no andar preguntando esto...)

      Duda aleatoria que tengo desde hace tiempo...

      (Después de esto me sorprende durar tanto tiempo sin antivirus y solo con zemana... No enserio me sorprende durar tanto tiempo sin antivirus ya que antes me moría si no tenia un antivirus (pirateado lo que era peor) o me pasaba con los complementos (Y también pirateados... :I) (Ya me salí del tema ¿verdad?)

      Salu2

    10. #10
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: CryptoWall 4.0 en estado salvaje, se hace pasar como el chico bueno

      Cita Originalmente publicado por Mario50073 Ver Mensaje
      La cual es ¿Si un dispositivo (Una SD seria un buen ejemplo) se encuentra en modo de lectura y tiene archivos... esta es imposible de modificar o encriptar sus archivos?(Me refiero a los ransomwares, etc... Que aveces tardo en acomodar bien las cosas) (Necesito aprender mas de hardware para no andar preguntando esto...)
      Cualquier dispositivo que esté conectado a un equipo que se infecta con un Ransomware que tenga asignada una letra de unidad (ej: C: D: F:) como memoria SD, pendrive, inclusive hasta una cámara o teléfono pudiera resultar infectado o más bien dicho, cifrados sus archivos.


      Y sobre el Antivirus, con digo siempre, este es solamente una línea de defensa más en la seguridad por capas que recomendamos implementar para mitigar una posible infección de malware.

      "La protección por capas es como usar el cinturón de seguridad y una bolsa de aire, ambos van ayudarte a mantenerte a salvo, pero trabajan de diferentes maneras."

      El no utilizar un Antivirus no necesariamente significa que no puedas navegar y que, si o si vayas a resultar infectado, pero sí que mañana hagas clic sin querer o visites una web previamente comprometida y que no tengas esa protección extra que te pueda ayudar a prevenir el peligro.



      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    Página 1 de 2 12 ÚltimoÚltimo