Ya como antaño, se esta recibiendo un falso mail de Correos avisando de una carta certificada, con dos enlaces, el primero para DESCARGAR INFORMACION SOBRE SU ENVIO , que lleva a :
http://penobeton03.ru/xxxxxx…
y el ultimo que indica HAGA CLICK AQUI con otro enlace al mismo sitio…
http://penobeton03.ru/xxxxxx…
Como se ve es una URL de Rusia, la cual accede a una pagina phishing que pide entrada de un CAPTCHA, que, si se siguen sus instrucciones, se descarga y ejecuta una nueva variante del temible CRYPTOLOCKER TORRENT, cifrando los ficheros de datos con RSA 2048 y añadiendo .encryptyed a los ficheros cifrados
El mail recibido, viene con asunto:
carta certificada no entregado a usted
y muestra el siguiente texto:
Hemos recibido varios que pasamos a controlar a partir del ELISTARA 34.23 ya disponible en nuestra web
Los clientes que hayan recibido y ejecutado dicho mail y sufrido sus consecuencias, pueden probar si el ELISTARA ya lo conoce, en caso contrario, lanzar el SPROCES, pulsar en SALIR y enviarnos el fichero informe que generara en C:\sproclog.txt, indicándonos el percance que han sufrido.
No olvidar indicar dar el número de contrato licencia para ser atendidos por soporte técnico.
Acto seguido les indicaremos el fichero ransomware para que puedan aparcarlo, añadiendo .VIR a su extensión y enviárnoslo para controlar en la siguiente versión del ELISTARA
Los ficheros cifrados cabe intentarlos recuperar con la versión anterior guardada por el ShadowCopy
En el siguiente enlace tiene unas recomendaciones para este tipo de Ransomwares:
https://www.satinfo.es/blog/2015/62372/
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 31 de Marzo de 2016