Cada día tenemos noticias de nuevas variantes de malware que usan técnicas de ingeniería social, que “convencen” al usuario para que ejecute un fichero anexado a un e-mail o mediante un enlace de descarga y cuyo efecto, una vez ejecutado, es el cifrado de ficheros de todas las unidades compartidas a las que el terminal infectado tenga acceso y aunque vamos repitiendo en las NOTICIAS de nuestro BLOG los consejos para evitar dichos percances, hemos creado este artículo como resumen de la situación actual, como muestra de lo fácil que es ser infectado y lo que debe hacerse para evitarlo.
Los mails maliciosos pueden no parecerlo, como este:
https://www.satinfo.es/blog/2014/mas-cryptolockers-en-ficheros-descargados-de-enlace-de-mail-masivo/
Cuyo texto del mail es similar a:
*************************************
Asunto: Informazioni 9730-4274.
De: “Carolena” <franca@vivestar.com>
Fecha: 12/11/2014 17:17
Para: <destinatario>
Hola,
Le informamos de que usted tiene un pago pendiente.
Numero de pago: 24622631106
Causas y descripcion detallada se puede encontrar en:
http://dominio.com.mx/Info.zip?WvTj8=<destinatario>
Solo ten cuidado si no termina el pago, nuestra empresa se vera obligada a detener el suministro de productos.
En el caso de falta de pago, nos veremos obligados a exigir una reparacion.
==
Donya
Tel./Fax.: (045) 051 93 32
*************************************
Incluye un fichero anexado: INFO.ZIP que una vez desempaquetado aparenta ser un PDF y realmente es un exe (INFO.PDF …… EXE)
Al ejecutar el presunto PDF, que realmente es un EXE malicioso, se ejecuta el virus, que en este caso es un CRYPTOLOCKER, el cual codifica todos los ficheros de las unidades compartidas a las que se tenga acceso.
Disponiendo del VirusScan de McAfee residente, es muy útil el sistema heuristico avanzado que incorpora su motor Artemis, el cual recomendamos configurar a Nivel “MUY ALTO”, ya que hemos comprobado que con ello se detectan y detienen variantes de virus que aun no son controlados, al no ser conocidos, pero que con dicho método se logran interceptar.
Se recuerda que dicho sistema heuristico funciona teniendo conexión con McAfee, por lo que debe disponerse de Internet activo para que funcione, intercambiando información con los laboratorios centrales de dicha firma.
Aparte de ello, como ya indicamos en algunas Noticias que vamos publicando en nuestro Blog (www.satinfo.es/blog), se recuerda una vez mas que “no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus enlaces ni en imágenes de los mismos y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”
Mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.
Además, si se dispone de una solución perimetral, para evitar que lleguen los mails al destinatario, se puede configurar el filtrado de archivos e impedir que se reciban ejecutables anexados al mail (.EXE, .COM, .PIF, .CPL, .BAT, .CMD, SCR, CAB, etc.) , incluso dentro de ficheros empaquetados y muy recomendable también es activar el filtro de reputación.
Dado que existe una modalidad de Cryptolocker que viene anexando un documento de Word, que al abrirlo y ejecutar las macros del documento se genera el downloader que descarga el cryptolocker, como indicamos en:
conviene activar también el filtro Antispam.
Para los equipos de trabajo, es importante tener instalado McAfee SitedAdvisor, para aquellos mails que no lleven el malware adjunto e incorporen un enlace con fines maliciosos.
Otra medida de prevención sería utilizar, como servidores de DNS, los OpenDNS, que impiden el acceso a multitud de URLs maliciosas (ver condiciones de uso en la siguiente web https://www.opendns.com/ ).
Mucho cuidado especialmente con los mails que se reciben a diario, principal medio utilizado para infectar y propagar malwares, contra los que todo lo indicado y los cuidados del usuario pueden ser decisivos para evitar infecciones tan peligrosas como los actuales CRYPTOLOCKERS y todas sus futuras variantes.
Lea también:
Si se ha producido la infección
Las vías para intentar recuperar los archivos son:
- Apagar inmediatamente el equipo tras detectar la infección y aislarlo de la red
- Pasar nuestra utilidad EliStarA
- Inicar el sistema en “Modo seguro” y proceder a recuperar versiones anteriores con Shadow Copy
- Proceder a la restauración de las copias de seguridad
- Herramientas de terceros:
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 20 de Noviembre de 2014