Se está recibiendo una nueva oleada de mails cuyo anexo lleva un fichero zip el cual una vez descomprimido, contiene un fichero con extensión .scr que se trata de un downloader, que si se ejecuta, descarga el CTB-Locker, cifrando los datos de todas las unidades a las que se tenga acceso.
Los mail recibidos son del siguiente tipo:
Asunto: New message-JDAD2185523447E
Fecha: Mon, 19 Jan 2015 20:34:27 +0100
De: Remitente
Para: destinatario
From: +07913 306 018
Date: 2015.01.18 19:34:17 CST
Pages: 3
ID: JDAD2185523447E
Filename: ungracious.zip
—
Nombre de la persona firmante
Tal como indicamos el fichero adjunto al mail es un ZIP, con la diferencia que al desempaquetarlo genera otro ZIP y éste último es el que genera un fichero de extensión .SCR , esta técnica la utilizan para aquellos sistemas de protección que no examinen cíclicamente un ZIP dentro de otro ZIP.
El fichero .SCR se trata de un downloader que infecta con un temporal .TMP y cifra todos los ficheros de datos de todas las unidades a las que el usuario tenga acceso, locales, extraibles y de red.
Cómo prevenir dichos mails
El mejor método para prevenir sobre este tipo de mails es disponer de una solución perimetral, para que el mail ya no llegue al destinatario.
Esta solución debería disponer de un buen filtro de Anti-Spam, control de reputación y para estar más seguros, impedir anexos por extensiones.
Las extensiones a bloquear son del tipo ejecutables, como pueden ser EXE, SCR, PIF, CPL, CMD, etc. y teniendo en cuenta que puede llegar el fichero anexado directamente o comprimido dentro de un ZIP, RAR, etc., dicha solución debe ser capaz de examinar dentro de dichos ficheros empaquetados.
Si no se dispone de una solución perimetral, el mail llegará al usuario, quedando como última barrera el antivirus instalado en dicho sistema y también del buen criterio del usuario al recibir algo no esperado o dudoso.
Recordamos que:
-
No ejecutar ficheros anexados a mails no solicitados
-
No pulsar sobre los enlaces ni en imágenes de los mismos
-
No rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias
-
Mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos
-
Configurar a nivel MUY ALTO la sensibilidad heuristica del “Analizador en tiempo real” y el “Análisis bajo demanda”
Nota: para que la detección heuristica de VirusScan funcione, el ordenador debe estar conectado a Internet
Eliminación
Para eliminar el virus, es necesario iniciar el sistema en “Modo seguro con funciones de red” y conexión a Internet, lanzar un análisis bajo demanda teniendo configurado el “Nivel de sensibilidad” a “Muy alto” dentro de la pestaña “Rendimiento”. Los ficheros cifrados no se pueden recuperar, deben restaurarse de la copia de seguridad.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 22 de Enero de 2015