NOTICIA SOBRE LAS NUEVAS VARIANTES DE CTB-LOCKER: CARACTERISTICAS Y ELIMINACION
Se está recibiendo una nueva oleada de mails cuyo anexo lleva un fichero zip el cual una vez descomprimido, contiene un fichero con extensión .scr que se trata de un downloader, que si se ejecuta, descarga el CTB-Locker, cifrando los datos de todas las unidades a las que se tenga acceso.
Los mail recibidos son del siguiente tipo:
Asunto: New message-JDAD2185523447E
Fecha: Mon, 19 Jan 2015 20:34:27 +0100
De: Remitente
Para: destinatario
From: +07913 306 018
Date: 2015.01.18 19:34:17 CST
Pages: 3
ID: JDAD2185523447E
Filename: ungracious.zip
–
Tal como indicamos el fichero adjunto al mail es un ZIP, con la diferencia que al desempaquetarlo genera otro ZIP y éste último es el que genera un fichero de extensión .SCR , esta técnica la utilizan para aquellos sistemas de protección que no examinen cíclicamente un ZIP dentro de otro ZIP.
El fichero .SCR se trata de un downloader que infecta con un temporal .TMP y cifra todos los ficheros de datos de todas las unidades a las que el usuario tenga acceso, locales, extraibles y de red.
Cómo prevenir dichos mails
El mejor método para prevenir sobre este tipo de mails es disponer de una solución perimetral, para que el mail ya no llegue al destinatario.
Esta solución debería disponer de un buen filtro de Anti-Spam, control de reputación y para estar más seguros, impedir anexos por extensiones.
Las extensiones a bloquear son del tipo ejecutables, como pueden ser EXE, SCR, PIF, CPL, CMD, etc. y teniendo en cuenta que puede llegar el fichero anexado directamente o comprimido dentro de un ZIP, RAR, etc., dicha solución debe ser capaz de examinar dentro de dichos ficheros empaquetados.
Si no se dispone de una solución perimetral, el mail llegará al usuario, quedando como última barrera el antivirus instalado en dicho sistema y también del buen criterio del usuario al recibir algo no esperado o dudoso.
Recordamos que:
No ejecutar ficheros anexados a mails no solicitados
No pulsar sobre los enlaces ni en imágenes de los mismos
No rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias
Mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos
Configurar a nivel MUY ALTO la sensibilidad heuristica del “Analizador en tiempo real” y el “Análisis bajo demanda”
Nota: para que la detección heuristica de VirusScan funcione, el ordenador debe estar conectado a Internet
Eliminación
Para eliminar el virus, es necesario iniciar el sistema en “Modo seguro con funciones de red” y conexión a Internet, lanzar un análisis bajo demanda teniendo configurado el “Nivel de sensibilidad” a “Muy alto” dentro de la pestaña “Rendimiento”. Tras eliminar el virus, se podrá proceder a restaurar los ficheros cifrados, desde la copia de seguridad.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 22 de Enero de 2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.