Conviene tener cuidado con todos los malwares que pululan por Internet, pero especialmente con los que se reciben por correo electrónico, que a pesar de haber avisado repetidamente de sus continuas variantes y peligrosas consecuencias (cifrado de los ficheros de datos de la red a la que tienen acceso, incluido servidor), no paran las incidencias de los usuarios con los mismos.
Sirva este aviso para recordar, una vez mas, y concienciar mas si cabe, sobre dichas tres familias de ransomwares, de los que ofrecemos enlaces a noticias significativas sobre ellos, aunque se nos pueda considerar de cansinos por la insistencia en el particular, pero poco importa si con ello conseguimos evitar infecciones y efectos consecuentes de dichos malwares.
1.- CRYPTOLOCKER
Empezamos con el CRYPTOLOCKER, que actualmente es del que recibimos mas incidencias de usuarios afectados, está llegando en un falso mail de Correos que avisa de una carta certificada…, como ya hemos indicado una infinidad de veces, pero del que, a pesar de ello, continuamente hay usuarios que caen en su trampa:
El codificado que utiliza el hacker en este caso es un RSA 2048 asimétrico, sin posibilidad de decodificación sin la llave que posee el hacker, diferente para cada infección, aunque con algunas variantes del mismo se pueda recuperar la información a partir de las copias que hace automáticamente el SHADOWCOPY en windows7 (no en XP, ni en servidores, pues aunque aunque esté disponible en estos últimos dicha aplicación, no está activa por defecto). Ver información de ello en:
Y claro está, siempre cabe, durante los primeros días de la infección, recurrir al pago del rescate, aunque no sea recomendable por secundar los interesas del hacker, y siempre lo mas eficaz es restaurarlos a partir de la copia de seguridad, una vez eliminado el virus, para lo cual debe arrancarse en MODO SEGURO y lanzar el ELISTARA si ya lo detecta y sino enviarnos muestra del fichero que indiquemos para controlarlo, tras analizar el informe del SPROCES.
Cabe indicar que los ficheros cifrados por dicho virus, son marcados por el añadido de la palabra “.encrypted” a su extensión.
2.- CTBLOCKER
El segundo es el del que estamos recibiendo mas cantidad de nuevas variantes (del orden de 8 y 9 cada día) y que lógicamente los antivirus no detectan hasta que reciben muestras de los afectados, es el CTBLOCKER, que acostumbra a llegar en mails muy escuetos que anexan un fichero empaquetado .CAB que contiene un .SCR, cuya ejecución instala en carpeta temporal, un EXE, que es el que acaba haciendo la faena de cifrado de los documentos de toda la red a la que puede acceder. Ver información del último de ellos:
Al igual que en el caso del CRYPTOLOCKER, puede probarse alguna de las posibilidades de recuperación de los ficheros cifrados por dichos ransomwares, lo cual ya ofrecimos en su día y de lo cual indicamos enlace a dicha información:
E igualmente que en el caso anterior, aparte de poder recurrir al pago del rescate, siempre lo mas recomendable es restaurarlos a partir de la copia de seguridad, una vez eliminado el virus, para lo cual debe arrancarse en MODO SEGURO y lanzar el ELISTARA si ya lo detecta, en caso contrario enviarnos muestra del fichero que indiquemos para su control, tras analizar el informe del SPROCES.
Cabe indicar que los ficheros cifrados por él, son marcados por el añadido de una palabra aleatoria, como “.BULPKHJ”, a su extensión.
3.- TESLACRYPT
Este es el ransomware que codifica con un simple AES 256, simétrico, (aunque en su POPUP indique que lo hace con RSA2048, información que es una simple copia de la ventana del CRYPTOLOCKER)
que gracias a lo cual, y a que la clave utilizada es guardada en un fichero del ordenador infectado, se puede recuperar la información perdida con utilidades disponibles en Internet, como el TESLADECRYPT.EXE:
https://www.satinfo.es/blog/2015/noticion-disponible-herramienta-para-descifrar-el-teslacrypt/
Ver opciones de dicha utilidad:
Here is the list of command line options
/help – Show the help message
/key – Manually specify the master key for the decryption (32 bytes/64 digits)
/keyfile – Specify the path of the “key.dat” file used to recover the master key.
/file – Decrypt an encrypted file
/dir – Decrypt all the “.ecc” files in the target directory and its subdirs
/scanEntirePc – Decrypt “.ecc” files on the entire computer
/KeepOriginal – Keep the original file(s) in the encryption process
/deleteTeslaCrypt – Automatically kill and delete the TeslaCrypt dropper (if found active in the target system)
La última muestra que recibimos de este malware ya está controlada con el ELISTARA actual, además de que los antivirus McAfee y Kaspersky también lo controlan:
En su caso, los ficheros cifrados por él, son marcados por el añadido de la palabra “.ECC”
Sirva esta exposición de los tres ransomwares mas activos del momento, para que los usuarios se conciencien de los peligros existentes en los correos electrónicos que se reciben de cualquier parte, aunque sea de un conocido o bajo el falso nombre de una empresa conocida (CORREOS, UPS, DHL, etc), y que debe aplicarse la norma de:
¡¡¡ NO EJECUTAR ARCHIVOS ANEXADOS A MAILS NO SOLICITADOS, ni pulsar en enlaces ni imágenes de los mismos !!!
Esperamos que lo indicado les sea de utilidad.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 4 de Mayo de 2015