NOTICIA SOBRE LAS NUEVAS VARIANTES DE CTB-LOCKER: CARACTERISTICAS Y ELIMINACION

Se está recibiendo una nueva oleada de mails cuyo anexo lleva un fichero zip el cual una vez descomprimido, contiene un fichero con extensión .scr que se trata de un downloader, que si se ejecuta, descarga el CTB-Locker, cifrando los datos de todas las unidades a las que se tenga acceso.

Los mail recibidos son del siguiente tipo:

Asunto: New message-JDAD2185523447E
Fecha: Mon, 19 Jan 2015 20:34:27 +0100
De: Remitente
Para: destinatario
From: +07913 306 018
Date: 2015.01.18 19:34:17 CST

Pages: 3
ID: JDAD2185523447E

Filename: ungracious.zip

–

Tal como indicamos el fichero adjunto al mail es un ZIP, con la diferencia que al desempaquetarlo genera otro ZIP y éste último es el que genera un fichero de extensión .SCR , esta técnica la utilizan para aquellos sistemas de protección que no examinen cíclicamente un ZIP dentro de otro ZIP.

El fichero .SCR se trata de un downloader que infecta con un temporal .TMP y cifra todos los ficheros de datos de todas las unidades a las que el usuario tenga acceso, locales, extraibles y de red.

Cómo prevenir dichos mails

El mejor método para prevenir sobre este tipo de mails es disponer de una solución perimetral, para que el mail ya no llegue al destinatario.

Esta solución debería disponer de un buen filtro de Anti-Spam, control de reputación y para estar más seguros, impedir anexos por extensiones.

Las extensiones a bloquear son del tipo ejecutables, como pueden ser EXE, SCR, PIF, CPL, CMD, etc. y teniendo en cuenta que puede llegar el fichero anexado directamente o comprimido dentro de un ZIP, RAR, etc., dicha solución debe ser capaz de examinar dentro de dichos ficheros empaquetados.

Si no se dispone de una solución perimetral, el mail llegará al usuario, quedando como última barrera el antivirus instalado en dicho sistema y también del buen criterio del usuario al recibir algo no esperado o dudoso.

Recordamos que:

No ejecutar ficheros anexados a mails no solicitados

No pulsar sobre los enlaces ni en imágenes de los mismos

No rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias

Mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos

Configurar a nivel MUY ALTO la sensibilidad heuristica del “Analizador en tiempo real” y el “Análisis bajo demanda”

Nota: para que la detección heuristica de VirusScan funcione, el ordenador debe estar conectado a Internet

Eliminación

Para eliminar el virus, es necesario iniciar el sistema en “Modo seguro con funciones de red” y conexión a Internet, lanzar un análisis bajo demanda teniendo configurado el “Nivel de sensibilidad” a “Muy alto” dentro de la pestaña “Rendimiento”. Tras eliminar el virus, se podrá proceder a restaurar los ficheros cifrados, desde la copia de seguridad.

SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 22 de Enero de 2015