Utilizamos cookies propias y de terceros para mejorar nuestros servicios. Si continua navegando, consideramos que acepta su uso. Más información

 

 

 

 

 

 

BLOG

 

Sábado, 16 Mayo 2015 00:00

Cryptolocker virus de Correos

virus-correos-cryptolocker virus-correos-cryptolocker

Cryptolocker es un malware o virus tipo troyano, que se ha extendido a ordenadores de todo el mundo desde finales de 2013 a través principalmente de un correo remitido principalmente por correos o la agencia tributaria. Este virus es muy peligroso, ya que una vez ha logrado burlar la seguridad de la máquina, cifra todos los archivos que tengan una extensión determinada, que normalmente son las que se asignan a los ficheros más importantes, como son .pdf. docx. .rar. zip. jpg, etc. no solo del ordenador afectado si no tambien de las carpetas compartidas con este. 

correos-virus.png

Propagación:

El virus de correos se propaga principalmente por correo electrónico, se camufla como un enlace dentro de una misiva de la compañía postal instando a visitar el enlace para concertar una nueva fecha para la entrega de un envío que no se ha podido servir. Este enlace lejos de facilitar lo que dice, nos descargara un fichero que será el encargado de cifrar el contenido de nuestro disco duro y las unidades de red que estén configuradas en ese puesto.

Infección:

Este es uno de los puntos más peligrosos de este malware, ya que cryptolocker, comenzará a encriptar los archivos con la extensión preconfigurada, en las unidades de red, es decir, antes de tocar algún archivo del propio ordenador infectado, comienza a encriptar los ordenadores vecinos que tengan alguna carpeta compartida con el. de esta manera, el ultimo usuario en enterarse será el que esté cifrando estos archivos. En el caso de las empresas, esto es si cabe aún más grave, ya que normalmente, el servidor donde se almacenan los datos más relevantes de la empresa se encuentra en esta situación, y muy probablemente será afectado. El servidor o Nas de la empresa, aunque este super-protegido con antivirus, firewall o cualquier otra herramienta de seguridad sucumbira al cifrado que se realiza desde un equipo que legítimamente tiene permisos para acceder o modificar los datos. Es por esto que este Troyano se tiene que tomar muy en serio a la hora de plantear medidas como son la programación de respaldos y la implementación de Sistemas de recuperación de catástrofes. contra este virus un mantenimiento informático no vale, hay que implementar un mantenimiento informático efectivo supervisado por especialistas.

malware-efecto-cryptolocker.png

Medidas cuando estemos infectados.

El ordenador causante de los problemas sera el ultimo en percibir el problema, si bien es cierto que en este ordenador será más obvia la infección ya que el virus se encarga de comunicarlo con varias advertencias tipo popup persistentes y muy incómodas de quitar. el resto de la red infectada, verá en las carpetas que han sido afectadas, dos ficheros de texto indicando cómo ha afectado el virus a nuestros datos y el procedimiento para recuperarlos.

¿que debemos de hacer cuando esto sucede? como el virus también está tocando bases de datos, y ficheros de programa es probable que alguien esté haciendo uso de algún programa en red en el momento del cifrado y este deje de funcionar. un vistazo rápido a una de las carpetas compartidas con desvela numerosos archivos con una extensión extraña (encrypted, ECC, ekk) y sin el icono típico que suelen tener. en este caso lo más prudente es desconectar el Switch, Hub, Router o cualquier aparato que enlace la red, y acto seguido, apagar los equipos uno a uno con rapidez, (incluso dejándolos sin alimentación) Lo conveniente en estos casos es que una empresa especializada en mantenimientos a empresa, nos visite y proceda a evaluar los daños. pero el procedimiento debería ser arrancar los equipos uno a uno en modo a prueba de fallos o modo seguro hasta descubrir el ordenador causante del estropicio. este pc debe ser aislado del resto de la red automáticamente y apagarlo. hasta que se tome una decisión acerca de si pagar o no el rescate este equipo no debe ser desinfectado baja ninguna circunstancia, ya que de hacerlo muy probablemente impidamos la recuperación de los datos aun habiendo pagado el rescate.

Aunque el resto de los equipos no están infectados, solamente presentarán archivos cifrados en sus carpetas compartidas, es conveniente no conectarlos aun a la red hasta haber hecho un análisis de daños.

¿pagar el rescate?, una difícil decisión

web-cyptolocker-comprobacion-pago

Una vez analizado el desastre, tendremos que consultar si disponemos de una copia de seguridad útil y actualizada que pueda servirnos para sustituir estos ficheros indescifrables por unos accesibles. si es así estamos de suerte, no es necesario sucumbir al chantaje de los crakers. si por el contrario tenemos datos sensibles que no podemos usar y de los que no existe copia alguna, tenemos que plantearnos el pagar o no el rescate. Aunque el tipo de cifrado que usa este virus es inviolable por fuerza bruta, dos empresas de seguridad FireEye y Fox It, ha logrado en algunos casos descubrir el algoritmo que estos sinverguenzas usan para generar la clave única y la han puesto a disposición de todo el mundo, a través de un sencillo sistema donde basta ingresar en una web, un correo electrónico y una muestra de un archivo cifrado para que estos nos envíen un correo con la clave que se ha usado para encriptar nuestros archivos. La mala noticia es que no siempre funciona, y al tratarse de un ataque de día cero, que implica que el virus ha sido modificado pocas horas antes de su envío, dificulta la cura, ya que los crackers muy probablemente modifiquen constantemente el algoritmo para que sea más difícil de romper, y así la cura tarde más.

¿Pero que debemos de hacer si estamos afectados, no tenemos una copia reciente de los datos y no funciona el remedio de decryptolocker? la respuesta la tiene que decidir cada uno, solo las empresas afectadas conocen el valor de sus datos y saben que consecuencias puede tener el perderlos, pero a la larga ceder al chantaje y pagar es la peor opción.

efecto-malware-virus-correos.png

Aunque los crackers han desarrollado un sistema muy sofisticado para comprobar el pago en bitcoins a través de páginas web diseñadas para este fin, y no les interesa la mala publicidad que les pueda hacer un “cliente descontento” nadie nos garantiza que nos faciliten el programa para desencriptar los datos, no existe un departamento de calidad, ninguna dirección a la que remitir una reclamación, no podemos elevar una denuncia por un mal servicio. estamos tratando con criminales y como criminales viven al margen de la ley. En nuestra experiencia el proceso de pago ha sido muy complicado debido a que los malhechores sólo aceptan Bitcoins como remuneración y es complicado conseguirlos sin una cuenta previa en algún registrador de esta divisa, pero una vez pagado hemos de decir que el proceso de recuperación del cifrado ha sido eficaz y sorprendentemente rápido.

¿por qué no pagar el rescate?

El principal motivo es que estamos financiando a una entidad criminal, que al tener beneficios no tendrán motivos para dejar de hacer lo que están haciendo, les compensa y lo seguirán haciendo, con el agravante de que al tener más capital lo pueden hacer mejor, llegar a más gente y diseñar un virus que sea mucho más difícil de arreglar. El dinero que consigan lo usaran por ejemplo para comprar más bases de datos de correos y así conseguir ampliar el número de víctimas, hacer un diseño web mejor para su sistema de pago y en definitiva para seguir haciendo lo mismo pero mejor.

ckraker-buscado.png

Además, no todo quedará como estaba, uno de nuestros clientes a pesar de haber pagado, no ha conseguido recuperar toda la información, si la mayor parte, pero no todo, y otro de ellos a pesar de haber seguido todos los pasos indicado por los criminales correctamente, ha perdido los datos de los días que no tenia respaldados en el programa de contabilidad, ya que este al haberse modificado irregularmente unos archivos ha quedado corrupto, y no arrancaba. con lo que en este caso el pago no ha servido de nada.

Otro gran problema se presenta con los imitadores, ya que estos ven en este sistema una ventana de negocio por explotar y visto los beneficios que se obtienen ,pueden hacer modificaciones de este virus y explotarlo ellos mismos. Actualmente hay copias de un virus similar Alphacrypt, y su predecesor Tesla Crypt que aunque no están tan extendidos son igual de peligrosos.


¿cómo nos defendemos de este tipo de infecciones?

Como comentamos este tipo de malware, usa un metodo de propagacion de ataque de día cero, de manera que ha sido modificado horas antes de que llegue a nuestro ordenador, los antivirus tienen difícil detectarlos ya que se han programado para no levantar sospechas. Existen aplicaciones específicas para bloquear este tipo de malware como son CryptoPrevent , que aunque son ideales para impedir que estos virus se ejecuten, puede interferir en el funcionamiento de software legítimo.

mantenimiento-informatico

La copia de seguridad es la mejor arma contra este tipo de ataques, ya que aunque este tipo de virus son fáciles de eliminar, los archivos son muy complicados de recuperar por fuerza bruta. si tenemos un buen mantenimiento informático para empresas contratado, lo más probable es que nos implementen una copia de seguridad autonoma, reciente, inerte, y desubicada, que hará más fácil recuperarse de este desastre. una excelente idea es generar ficheros de copia de seguridad comprimidos en rar por ejemplo y renombrar a otra extensión que no esté afectada por el virus, como Rir por ejemplo. otra de las soluciones que recomendamos es desubicar la copia una vez realizada, es decir que no esté físicamente en el lugar de trabajo y esté desconectada de cualquier ordenador.

El método elegido para la infección es a través del correo, es por ello que tener un cliente de correo local como outlook o the bat, es una mala opción para evitar este mal. para ello existen servicios de correo en la nube como outlook 360 o Gmail, que nos protegen alertando del engaño antes de que podamos siquiera descargar el malware. servicios como office 360 o google apps, además, proporcionan al usuario un entorno de trabajo en la nube libre de este y otros virus, donde el cifrado si bien es casi imposible de que se lleve a cabo, es reversible con el sistema de revisión de cambios.

 

Acerca de Dotcom

Dotcom Factory nace de la necesidad de las empresas por disponer de un servicio informático ajeno que responda mejor que uno propio, que se pueda equiparar al de una gran multinacional. La formación de nuestros profesionales y la experiencia hacen que elegir Dotcom Factory sea la más inteligente de las decisiones.

Nos ponemos enContacto SolicitaAyuda

Contacta con Nosotros

Nos preocupamos por solucionar sus problemas informáticos de la manera más rápida y eficaz.

Calle Gutemberg, 32A
15007 - A Coruña

981 23 35 35

Formulario de contacto

Información básica sobre protección de datos

El responsable del tratamiento es Dotcom Factory S.c. La finalidad del tratamiento es la de atender la consulta realizada. La base legal del tratamiento es el cumplimiento de una prestación solicitada por el interesado así como el interés legítimo del responsable del tratamiento. No se prevén comunicaciones datos salvo en los supuestos legalmente previstos. Puede Acceder, rectificar y suprimir los datos y otros derechos según consta en la información adicional. 

Formulario Contacto

Información básica sobre protección de datos

El responsable del tratamiento es Dotcom Factory S.c. La finalidad del tratamiento es la de atender la consulta realizada. La base legal del tratamiento es el cumplimiento de una prestación solicitada por el interesado así como el interés legítimo del responsable del tratamiento. No se prevén comunicaciones datos salvo en los supuestos legalmente previstos. Puede Acceder, rectificar y suprimir los datos y otros derechos según consta en la información adicional.

Formulario Ayuda

Información básica sobre protección de datos

El responsable del tratamiento es Dotcom Factory S.c. La finalidad del tratamiento es la de atender la consulta realizada. La base legal del tratamiento es el cumplimiento de una prestación solicitada por el interesado así como el interés legítimo del responsable del tratamiento. No se prevén comunicaciones datos salvo en los supuestos legalmente previstos. Puede Acceder, rectificar y suprimir los datos y otros derechos según consta en la información adicional.