PELIGROSOS RANSOMWARES DE MODA ACTUALMENTE, CRYPTOLOCKER, CTBLOCKER Y TESLACRYPT

Conviene tener cuidado con todos los malwares que pululan por internet, pero especialmente con los que se reciben por correo electrónico, que a pesar de haber avisado repetidamente de sus continuas variantes y peligrosas consecuencias (cifrado de los ficheros de datos de la red a la que tienen acceso, incluido servidor), no paran las incidencias de los usuarios con los mismos.

Sirva este aviso para recordar, una vez mas, y concienciar mas si cabe, sobre dichas tres familias de ransomwares, de los que ofrecemos enlaces a noticias significativas sobre ellos, aunque se nos pueda considerar de cansinos por la insistencia en el particular, pero poco importa si con ello conseguimos evitar infecciones y efectos consecuenctes de dichos malwares.

1.- CRYPTOLOCKER

Empezamos con el CRYPTOLOCKER, que actualmente es del que recibimos mas incidencias de usuarios afectados, y está llegando en un falso mail de Correos que avisa de una carta certificada…, como ya hemos indicado una infinidad de veces, pero del que, a pesar de ello, continuamente hay usuarios que caen en su trampa:

https://blog.satinfo.es/2015/nueva-variante-de-ransomware-cryptolocker-recibido-en-falso-mail-de-correos/

El codificado que utiliza el hacker en este caso es un RSA 2048 asimetrico, sin posibilidad de decodificación sin la llave que posee el hacker, diferente para cada infección, aunque con algunas variantes del mismo se pueda recuperar la información a partir de las copias que hace automáticamente el SHADOWCOPY en windows7 (no en XP, ni en servidores, pues aunque aunque esté disponible en estos últimos dicha aplicación, no está activa por defecto). Ver información de ello en:

https://blog.satinfo.es/2015/muy-importante-posible-recuperacion-de-ficheros-cifrados-con-el-cryptolocker-torrent-en-windows-7-y-similares/

Y claro está, siempre cabe, durante los primeros dias de la infección, recurrir al pago del rescate, aunque no sea recomendable por secundar los interesas del hacker, y siempre lo mas eficaz es restaurarlos a partir de la copia de seguridad, una vez eliminado el virus, para lo cual debe arrancarse en MODO SEGURO y lanzar el ELISTARA si ya lo detecta, y sino enviarnos muestra del fichero que indiquemos para controlarlo, tras analizar el informe del SPROCES.

Cabe indicar que los ficheros cifrados por dicho virus, son marcados por el añadido de la palabra “.encrypted” a su extensión.

 

2.- CTBLOCKER

El segundo es el del que estamos recibiendo mas cantidad de nuevas variantes (del orden de 8 y 9 cada día) y que lógicamente los antivirus no detectan hasta que reciben muestras de los afectados, es el CTBLOCKER, que acostumbra a llegar en mails muy escuetos que anexan un fichero empaquetado .CAB que contiene un .SCR, cuya ejecución instala en carpeta temporal, un EXE, que es el que acaba haciendo la faena de cifrado de los documentos de toda la red a la que puede acceder. Ver información del último de ellos:

https://blog.satinfo.es/2015/recibida-una-ultima-variante-de-ctblocker-apenas-controlada-por-los-actuales-av-solo-3-de-55av/

Al igual que en el caso del CRYPTOLOCKER, puede probarse alguna de las posibilidades de recuperación de los ficheros cifrados por dichos ransomwares, lo cual ya ofrecimos en su día y de lo cual indicamos enlace a dicha información:

https://blog.satinfo.es/2015/ante-la-proliferacion-de-incidencias-con-el-dichoso-cryptolocker-ofrecemos-enlaces-a-noticias-ya-publicadas-sobre-posible-recuperacion-de-ficheros-cifrados/

E igualmente que en el caso anterior, aparte de poder recurrir al pago del rescate, siempre lo mas recomendable es restaurarlos a partir de la copia de seguridad, una vez eliminado el virus, para lo cual debe arrancarse en MODO SEGURO y lanzar el ELISTARA si ya lo detecta, y sino, enviarnos muestra del fichero que indiquemos para su control, tras analizar el informe del SPROCES.

Cabe indicar que los ficheros cifrados por él, son marcados por el añadido de una palabra aleatoria, como “.BULPKHJ”, a su extensión.

 

3.- TESLACRYPT

Este es el ransomware que codifica con un simple AES 256, simétrico, (aunque en su POPUP indique que lo hace con RSA2048, informacion que es una simple copia de la ventana del CRYPTOLOCKER),

y que gracias a lo cual, y a que la clave utilizada es guardada en un fichero del ordenador infectado, se puede recuperar la información perdida con utilidades disponibles en internet, como el TESLADECRYPT.EXE:

https://blog.satinfo.es/2015/noticion-disponible-herramienta-para-descifrar-el-teslacrypt/

Ver opciones de dicha utilidad:

Here is the list of command line options

/help – Show the help message
/key – Manually specify the master key for the decryption (32 bytes/64 digits)
/keyfile – Specify the path of the “key.dat” file used to recover the master key.
/file – Decrypt an encrypted file
/dir – Decrypt all the “.ecc” files in the target directory and its subdirs
/scanEntirePc – Decrypt “.ecc” files on the entire computer
/KeepOriginal – Keep the original file(s) in the encryption process
/deleteTeslaCrypt – Automatically kill and delete the TeslaCrypt dropper (if found active in the target system)

La última muestra que recibimos de este malware ya está controlada con el ELISTARA actual, además de que los antivirus McAfee y Kaspersky tambien lo controlan:

https://blog.satinfo.es/2015/nueva-variante-de-ransomware-teslacrypt-que-pasamos-a-controlar-con-elistara-32-19/

En su caso, los ficheros cifrados por él, son marcados por el añadido de la palabra “.ECC”

 

Sirva esta exposición de los tres ransomwares mas activos del momento, para que los usuarios se conciencien de los peligros existentes en los correos electrónicos que se reciben de cualquier parte, aunque sea de un conocido o bajo el falso nombre de una empresa conocida (CORREOS, UPS, DHL, etc), y que debe aplicarse la norma de NO EJECUTAR ARCHIVOS ANEXADOS A MAILS NO SOLICITADOS, ni pulsar en enlaces ni imagenes de los mismos !!!

Esperamos que lo indicado les sea de utilidad.

saludos

ms, 1-5-2015

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies