Sábado, 16 Mayo 2015 00:00

Cryptolocker virus de Correos
virus-correos-cryptolocker
virus-correos-cryptolocker

Cryptolocker es un malware o virus tipo troyano, que se ha extendido a ordenadores de todo el mundo desde finales de 2013 a través principalmente de un correo remitido principalmente por correos o la agencia tributaria. Este virus es muy peligroso, ya que una vez ha logrado burlar la seguridad de la máquina, cifra todos los archivos que tengan una extensión determinada, que normalmente son las que se asignan a los ficheros más importantes, como son .pdf. docx. .rar. zip. jpg, etc. no solo del ordenador afectado si no tambien de las carpetas compartidas con este. 

correos-virus.png

Propagación:

El virus de correos se propaga principalmente por correo electrónico, se camufla como un enlace dentro de una misiva de la compañía postal instando a visitar el enlace para concertar una nueva fecha para la entrega de un envío que no se ha podido servir. Este enlace lejos de facilitar lo que dice, nos descargara un fichero que será el encargado de cifrar el contenido de nuestro disco duro y las unidades de red que estén configuradas en ese puesto.

Infección:

Este es uno de los puntos más peligrosos de este malware, ya que cryptolocker, comenzará a encriptar los archivos con la extensión preconfigurada, en las unidades de red, es decir, antes de tocar algún archivo del propio ordenador infectado, comienza a encriptar los ordenadores vecinos que tengan alguna carpeta compartida con el. de esta manera, el ultimo usuario en enterarse será el que esté cifrando estos archivos. En el caso de las empresas, esto es si cabe aún más grave, ya que normalmente, el servidor donde se almacenan los datos más relevantes de la empresa se encuentra en esta situación, y muy probablemente será afectado. El servidor o Nas de la empresa, aunque este super-protegido con antivirus, firewall o cualquier otra herramienta de seguridad sucumbira al cifrado que se realiza desde un equipo que legítimamente tiene permisos para acceder o modificar los datos. Es por esto que este Troyano se tiene que tomar muy en serio a la hora de plantear medidas como son la programación de respaldos y la implementación de Sistemas de recuperación de catástrofes. contra este virus un mantenimiento informático no vale, hay que implementar un mantenimiento informático efectivo supervisado por especialistas.

malware-efecto-cryptolocker.png

Medidas cuando estemos infectados.

El ordenador causante de los problemas sera el ultimo en percibir el problema, si bien es cierto que en este ordenador será más obvia la infección ya que el virus se encarga de comunicarlo con varias advertencias tipo popup persistentes y muy incómodas de quitar. el resto de la red infectada, verá en las carpetas que han sido afectadas, dos ficheros de texto indicando cómo ha afectado el virus a nuestros datos y el procedimiento para recuperarlos.

¿que debemos de hacer cuando esto sucede? como el virus también está tocando bases de datos, y ficheros de programa es probable que alguien esté haciendo uso de algún programa en red en el momento del cifrado y este deje de funcionar. un vistazo rápido a una de las carpetas compartidas con desvela numerosos archivos con una extensión extraña (encrypted, ECC, ekk) y sin el icono típico que suelen tener. en este caso lo más prudente es desconectar el Switch, Hub, Router o cualquier aparato que enlace la red, y acto seguido, apagar los equipos uno a uno con rapidez, (incluso dejándolos sin alimentación) Lo conveniente en estos casos es que una empresa especializada en mantenimientos a empresa, nos visite y proceda a evaluar los daños. pero el procedimiento debería ser arrancar los equipos uno a uno en modo a prueba de fallos o modo seguro hasta descubrir el ordenador causante del estropicio. este pc debe ser aislado del resto de la red automáticamente y apagarlo. hasta que se tome una decisión acerca de si pagar o no el rescate este equipo no debe ser desinfectado baja ninguna circunstancia, ya que de hacerlo muy probablemente impidamos la recuperación de los datos aun habiendo pagado el rescate.

Aunque el resto de los equipos no están infectados, solamente presentarán archivos cifrados en sus carpetas compartidas, es conveniente no conectarlos aun a la red hasta haber hecho un análisis de daños.

¿pagar el rescate?, una difícil decisión

web-cyptolocker-comprobacion-pago

Una vez analizado el desastre, tendremos que consultar si disponemos de una copia de seguridad útil y actualizada que pueda servirnos para sustituir estos ficheros indescifrables por unos accesibles. si es así estamos de suerte, no es necesario sucumbir al chantaje de los crakers. si por el contrario tenemos datos sensibles que no podemos usar y de los que no existe copia alguna, tenemos que plantearnos el pagar o no el rescate. Aunque el tipo de cifrado que usa este virus es inviolable por fuerza bruta, dos empresas de seguridad FireEye y Fox It, ha logrado en algunos casos descubrir el algoritmo que estos sinverguenzas usan para generar la clave única y la han puesto a disposición de todo el mundo, a través de un sencillo sistema donde basta ingresar en una web, un correo electrónico y una muestra de un archivo cifrado para que estos nos envíen un correo con la clave que se ha usado para encriptar nuestros archivos. La mala noticia es que no siempre funciona, y al tratarse de un ataque de día cero, que implica que el virus ha sido modificado pocas horas antes de su envío, dificulta la cura, ya que los crackers muy probablemente modifiquen constantemente el algoritmo para que sea más difícil de romper, y así la cura tarde más.

¿Pero que debemos de hacer si estamos afectados, no tenemos una copia reciente de los datos y no funciona el remedio de decryptolocker? la respuesta la tiene que decidir cada uno, solo las empresas afectadas conocen el valor de sus datos y saben que consecuencias puede tener el perderlos, pero a la larga ceder al chantaje y pagar es la peor opción.

efecto-malware-virus-correos.png

Aunque los crackers han desarrollado un sistema muy sofisticado para comprobar el pago en bitcoins a través de páginas web diseñadas para este fin, y no les interesa la mala publicidad que les pueda hacer un “cliente descontento” nadie nos garantiza que nos faciliten el programa para desencriptar los datos, no existe un departamento de calidad, ninguna dirección a la que remitir una reclamación, no podemos elevar una denuncia por un mal servicio. estamos tratando con criminales y como criminales viven al margen de la ley. En nuestra experiencia el proceso de pago ha sido muy complicado debido a que los malhechores sólo aceptan Bitcoins como remuneración y es complicado conseguirlos sin una cuenta previa en algún registrador de esta divisa, pero una vez pagado hemos de decir que el proceso de recuperación del cifrado ha sido eficaz y sorprendentemente rápido.

¿por qué no pagar el rescate?

El principal motivo es que estamos financiando a una entidad criminal, que al tener beneficios no tendrán motivos para dejar de hacer lo que están haciendo, les compensa y lo seguirán haciendo, con el agravante de que al tener más capital lo pueden hacer mejor, llegar a más gente y diseñar un virus que sea mucho más difícil de arreglar. El dinero que consigan lo usaran por ejemplo para comprar más bases de datos de correos y así conseguir ampliar el número de víctimas, hacer un diseño web mejor para su sistema de pago y en definitiva para seguir haciendo lo mismo pero mejor.

ckraker-buscado.png

Además, no todo quedará como estaba, uno de nuestros clientes a pesar de haber pagado, no ha conseguido recuperar toda la información, si la mayor parte, pero no todo, y otro de ellos a pesar de haber seguido todos los pasos indicado por los criminales correctamente, ha perdido los datos de los días que no tenia respaldados en el programa de contabilidad, ya que este al haberse modificado irregularmente unos archivos ha quedado corrupto, y no arrancaba. con lo que en este caso el pago no ha servido de nada.

Otro gran problema se presenta con los imitadores, ya que estos ven en este sistema una ventana de negocio por explotar y visto los beneficios que se obtienen ,pueden hacer modificaciones de este virus y explotarlo ellos mismos. Actualmente hay copias de un virus similar Alphacrypt, y su predecesor Tesla Crypt que aunque no están tan extendidos son igual de peligrosos.


¿cómo nos defendemos de este tipo de infecciones?

Como comentamos este tipo de malware, usa un metodo de propagacion de ataque de día cero, de manera que ha sido modificado horas antes de que llegue a nuestro ordenador, los antivirus tienen difícil detectarlos ya que se han programado para no levantar sospechas. Existen aplicaciones específicas para bloquear este tipo de malware como son CryptoPrevent , que aunque son ideales para impedir que estos virus se ejecuten, puede interferir en el funcionamiento de software legítimo.

mantenimiento-informatico

La copia de seguridad es la mejor arma contra este tipo de ataques, ya que aunque este tipo de virus son fáciles de eliminar, los archivos son muy complicados de recuperar por fuerza bruta. si tenemos un buen mantenimiento informático para empresas contratado, lo más probable es que nos implementen una copia de seguridad autonoma, reciente, inerte, y desubicada, que hará más fácil recuperarse de este desastre. una excelente idea es generar ficheros de copia de seguridad comprimidos en rar por ejemplo y renombrar a otra extensión que no esté afectada por el virus, como Rir por ejemplo. otra de las soluciones que recomendamos es desubicar la copia una vez realizada, es decir que no esté físicamente en el lugar de trabajo y esté desconectada de cualquier ordenador.

El método elegido para la infección es a través del correo, es por ello que tener un cliente de correo local como outlook o the bat, es una mala opción para evitar este mal. para ello existen servicios de correo en la nube como outlook 360 o Gmail, que nos protegen alertando del engaño antes de que podamos siquiera descargar el malware. servicios como office 360 o google apps, además, proporcionan al usuario un entorno de trabajo en la nube libre de este y otros virus, donde el cifrado si bien es casi imposible de que se lleve a cabo, es reversible con el sistema de revisión de cambios.

 

Total Comments:

Aceptar

Esta web utiliza cookies. Al continuar navegando aceptas nuestra Política de cookies

  1. IDENTIFICACIÓN

    Jesus Camiño Quintela representante de la empresa sita en la direccion C/ Mallos 8, A Coruña, con número de identificación fiscal 46898361G, con dirección de correo electrónico de contacto info@dotcomfactory.es, número de teléfono 981234927, utilizando como marca comercial y en adelante Dotcom Factory, administra la página web www.dotcomfactory.es y pone a disposición de todos los usuarios la información corporativa básica y las correspondientes condiciones de uso, tanto de contenidos como de servicio.
     
  2. CONDICIONES DE USO

    Dotcom Factory podrá modificar en cualquier momento la información presentada en la Web o bien, de existir, la oferta comercial, sobre todo en lo que respecta a precios o cualquier otro tipo de servicios profesionales. Los contenidos de la web Dotcom Factory podrán, en ocasiones, mostrar información provisional sobre algunos servicios. En caso de que la información facilitada no se correspondiese, el cliente tendrá derecho a rescindir la eventual contratación sin ningún costo por su parte. Dotcom Factory intentará de manera continua que cualquier información contenida en la Web sea veraz y que no contenga errores tipográficos, por lo que en caso de así producirse, se procedería a su inmediata corrección.
     
  3. PROTECCIÓN DE DATOS

    Dotcom Factory, informa a los usuarios y clientes de la firma , acerca de su política de protección de datos de carácter personal (en adelante, "los Datos Personales"). De esta forma, los Usuarios deciden libre y voluntariamente si desean facilitar a Dotcom Factory los Datos Personales que se les puedan requerir o que se puedan obtener de los Usuarios con ocasión de las relaciones comerciales, cumplimentación de formularios y encuestas ofrecidos por Dotcom Factory en su página web.
    Dotcom Factory se reserva el derecho a modificar la presente Política de Privacidad en función de las novedades legislativas, jurisprudenciales o de autorregulación que se produzcan. Tales modificaciones, serán anunciadas en esta página con razonable antelación a su entrada en vigor.
    Los Datos Personales recogidos en su actividad se incorporarán a un fichero declarado ante la Agencia Española de Protección de Datos, del que es responsable Dotcom Factory La finalidad es la de gestionar las relaciones comerciales con sus clientes. Los datos obtenidos a través de los formularios de esta página no serán cedidos a terceras empresas y se incorporarán a un Fichero con la finalidad de atender las consultas realizadas. La empresa puede usarlos para enviar comunicaciones comerciales, información de productos o campañas de fidelización de clientes. En el caso en que se produjese alguna cesión, Dotcom Factory solicitará el correspondiente consentimiento de los interesados, informando del destinatario y de la finalidad de la cesión. Dotcom Factory ha adoptado los niveles de seguridad de protección de los Datos Personales legalmente requeridos, y dichos niveles estarán acordes con la evolución del estado de la técnica y la legislación vigente.
    Dotcom Factory pone a disposición de los Usuarios recursos técnicos destinados a la mejora de sus productos mediante la opinión de los Usuarios, además, y de forma clara, ofrece el contenido de este aviso para que, con carácter previo, puedan acceder a este aviso sobre la Política de Privacidad o a cualquier otra información relevante y puedan prestar su consentimiento a fin de que la empresa pueda conocer las inquietudes de sus clientes y, con su colaboración, obtener mejoras en los productos que presta.
    Los Usuarios tienen reconocidos y podrán ejercitar los derechos de acceso, cancelación, rectificación y oposición, así como tienen reconocido el derecho a ser informados de las cesiones realizadas contactando con Dotcom Factory a través del correo electrónico info@dotcomfactory.es por correo ordinario en la C/ Mallos 8 A Coruña (en ambos casos, adjuntarán fotocopia del D.N.I.) Dpto Protección de Datos, indicando claramente el derecho que quiere ejercitar.
     
  4. COOKIES

    En cumplimiento del Artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico. Dotcom Factory pone en comunicación de los usuarios la utilización cookies para mejorar la experiencia de los usuarios, facilitando la navegación por nuestra web.
    Dotcom Factory tan solo utilizará las cookies que Usted nos deje utilizar. Podrá controlar sus cookies a través de su navegador.
    A continuación encontrará más información sobre cada uno de estos tipos de cookies.
    Cookies de Rendimiento
    Se trata de cookies que recogen información sobre cómo utiliza el sitio web (por ejemplo, las páginas que visita o si se produce algún error) y que también ayudan a Dotcom Factory a la localización y solución de problemas del sitio web. Toda la información recogida en las mismas es totalmente anónima y nos ayuda a entender cómo funciona nuestro sitio, realizando las mejoras oportunas para facilitar su navegación.
    Cookies Funcionales
    Nuestro propósito con estas cookies no es otro que mejorar la experiencia de los usuarios de Dotcom Factory. Podrá rechazar en cualquier momento el uso de dichas cookies. Dotcom Factory utiliza estas cookies para recordar ciertos parámetros de configuración o para proporcionar ciertos servicios o mensajes que pueden llegar a mejorar su experiencia en nuestro sitio. Por ejemplo, recuerdan el país o el idioma que ha seleccionado al visitar las páginas, y no se utilizan con fines de marketing.
    Dichas cookies permitirán por ejemplo recordar sus datos de inicio de sesión como cliente al volver a la página.
    Estas cookies no recogerán ninguna información sobre Usted que pueda ser usada con fines publicitarios, o información acerca de sus preferencias (tales como sus datos de usuario) más allá de esa visita en particular.
    Cookies de Marketing
    Dichas cookies son gestionadas por terceros, con lo que podrá utilizar las herramientas de éstos para restringir el uso de estas cookies. Algunas de las cookies se utilizan para enlazar a otras páginas web que proporcionan ciertos servicios a Dotcom Factory, como puede ser el caso de Facebook, Twitter o Google. Algunas de estas cookies modificarán los anuncios de otras webs para adaptarlos a sus preferencias.
    Estas cookies permitirán:
    • Enlazar con redes sociales
    • Pasar información sobre su visita a la página de Dotcom Factory para adaptar anuncios en otras páginas.
    Además de aceptar o rechazar el uso de ciertas cookies a través de la página web de Dotcom Factory, también podrá gestionarlas haciendo uso de la configuración de su navegador. Aquí tiene una fuente de información sobre cómo llevar a cabo dicho proceso: http://www.allaboutcookies.org/manage-cookies/
    Tan solo leeremos o escribiremos cookies acerca de sus preferencias. Aquellas que hayan sido instaladas antes de modificar la configuración permanecerán en su ordenador y podrá borrarlas haciendo uso de las opciones de configuración de su navegador.
     
  5. PROPIEDAD INTELECTUAL

    Dotcom Factory utiliza una licencia Creative Commons que permite el uso de sus contenidos con fines no comerciales, exigiendo sólo la atribución al autor. Esto significa que todos nuestros contenidos pueden ser usados libremente, salvo algunas fotos, que por pertenecer a terceros y ser objeto de licencia, están sujetas a copyright. Cualquiera puede copiarlos, reproducirlos, distribuirlos y modificarlos, la única condición que se impone es que sea con un fin no comercial. Se considera uso comercial su publicación en cualquier página que muestre publicidad o que sirva de soporte a otra actividad como la venta de bienes y servicios. Deberá mantenerse la atribución original al autor mediante un enlace directo a la página de inicio. Si se trata de un medio impreso basta con la mención del nombre del blog y la dirección o “url” general del mismo.
     
  6. JURISDICCIÓN

    Dotcom Factory y el usuario de la web se someten a los juzgados y tribunales de la ciudad de A Coruña para cualquier controversia que pudiera derivarse del acceso o utilización del sitio Web.

Acerca de DotCom

Dotcom Factory es una Empresa Informática de cabecera para empresas. Gestionamos todo tipo de incidencias informáticas a través de nuestro excelente servicio de mantenimiento, desarrollamos páginas web presenciales para empresas y reparamos equipos en nuestro equipado taller. Dotcom Factory nace de la necesidad de las empresas por disponer de un servicio informático ajeno que responda mejor que uno propio, que se pueda equiparar al de una gran multinacional. La formación de nuestros profesionales y la experiencia hacen que elegir Dotcom Factory sea la más inteligente de las decisiones. 

Nuestros Servicios

  • Mantenimiento Informático Empresas

  • Diseño Web

  • Consultoría Informática

  • Distribuidor de Google Apps

  • Instalación de Redes

  • Reparación de Equipos Informáticos

twitterfacebookgoogle+pinterest

Newsletter

Asistencia Remota

 Para recibir asistencia técnica pulse el botón.

 

Dotcom Factory

phone-2  981 23 35 35
 
envelope  info@dotcomfactory.es
 
pushpin-1   Calle Gutemberg 32A
       15007 - A coruña