el virus que encripta los ficheros : cryptolocker

aviso-correos-virus-pantalla

El proceso empieza con un correo supuestamente enviado por el servicio
de correos de España que informa de que tenemos un certificado en la
oficina de correos y que para recogerlo hay que descargarse el documento que se adjunta. Ese mensaje de correo  está escrito en español, pero algunas frases tienen una construcción un poco rara, probablemente sea el resultado de un traductor automático. Además el correo viene de una dirección de austria (.at) .

Observando el enlace que supuestamente descarga el documento vemos que está personalizado y cuyo identificador es la dirección de correo electrónico propio, puesto que cada intento de encriptación  la hacen con una clave diferente, ya que si no bastaría una clave para todas las encriptaciones y por tanto para todas las desencriptaciones.

Así que sí está personalizado, porque tienen que anotar que tal máquina fue encriptada con tal clave, para su recuperación posterior.
aviso-correos-virus-pantalla2
Ese enlace nos lleva a una página que aparentemente es de correos, pero que también es falsa.
Su url es  hbtk.correos-envio24.com (que ahora los navegaodres ya la marcan  como página peligrosa) , y algunos enlaces que tienen incluso saltan a la página auténtica de correos.

proceso-fichero-explorer
Al descargarse el fichero aparece un zip que al descomprimir genera una falsa carpeta, que en realidad es un fichero ejecutable, de modo que al darle a la carpeta (falsa) para abrirla, se ejecuta el fichero y ya empieza a encriptar los directorios de los usuarios.
pantalla-maquina-crypto1
aunque el proceso se puede parar y se puede eliminar el fichero, los ficheros ya están encriptados.

datos-encriptados

¿Lo detectan los antivirus ? Lo más probable es que no.

Hoy hay técnicas para colar un virus ya conocido a los antivirus. Se trata de crear un nuevo fichero que contiene la parte activa del virus pero añadiendo más instrucciones que despistan a los antivirus.

Incluso hay herramientas para hacer eso, se llaman técnicas de evasión de los antivirus.

En las conferencias GsickMinds de A Coruña hubo una charla sobre esas técnicas, podéis ver en esta entrada alguna de esas técnicas.

Así se puede obtener virus nuevos que los antivirus van a tardar un poco -algunos días- en incorporarlos.

Y si ya están los archivos encriptados . . .  ¿ qué se puede hacer ?

 

  •  – pagar  (?) .  No es muy recomendable. Parece que sí te envían un sistema para desencriptar, pero, . . . vamos cualquiera se fía. Puede que no lo envíen y te quedas sin datos y sin dinero.
  • – restaurar el sistema. Restaurar el sistema y  los datos desde las copias de seguridad. Aquí se ve que tener una buena política de copias de seguridad es muy importante.
  •  – instruir al personal de la empresa para que sepan distinguir estos casos de correos falsos.
  • – denuncia  en la policía.

El sistema de encriptado es muy robusto y es muy difícil o imposible  ( en un tiempo razonable -días- ) reventarlo. Algunas casas de antivirus ofrecen algunas soluciones , habría que ver hasta que punto solucionan el problema.

http://guiasvarias.com/cryptolocker-virus-correos-solucion-eliminar-desencriptar/

Podéis ver que este virus lleva atacando máquinas desde 2014, sigue activo con distintas variantes, y aún seguirá, por lo que es muy importante tener una cierta base informática para no picar.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s


A %d blogueros les gusta esto: