Durante la semana pasada y aun sigue en esta, son muchas las incidencias con el fatídico CTB-LOCKER, de las que hemos ido dando información de las variantes mas significativas, pero ayer tarde llegaron nuevos mails con una nota común que los diferencia de los anteriores y es que los anexados a dichos son ficheros .CAB, en lugar de los típicos ZIP usados en la mayoría de los mails maliciosos.
Sin duda muchos usuarios ya saben que los .CAB son un sistema de empaquetado usado por Microsoft para distribución de algunas de sus aplicaciones, y que, si bien no han sido usados hasta ahora para el envío de malwares, son tan operativos como los ZIP o los RAR, agravados por que el desconocimiento de que este método es ahora usado por los virus, puede facilitar la introducción de los mismos en los equipos de los usuarios.
Se da la circunstancia, ademas, que los CAB recibidos ayer desempaquetaban ficheros .SCR aun no controlados por la inmensa mayoría de antivirus, como puede verse en las Noticias del blog de SATINFO de ayer, 28-1-2015, al respecto y que ayer mismo ya ofrecimos su detección, control y eliminación con la versión del ELISTARA 31.53 que subimos a la web a las 18 horas, adelantando al máximo su disponibilidad para quienes hubieran recibido dicho tipo de mails y quisieran escanear el fichero que contenían dichos .CAB, un SCR que era una nueva variante de downloader de dicho CTB-LOCKER.
Hoy seguiremos monitorizando las nuevas variantes recibidas ayer, y añadiremos al ELISTARA los .EXE descargados por dichos downloaders .SCR que desempaquetan los nuevos CAB, ademas de los nuevos que nos vayan enviando, que lamentablemente esperamos que, vista la profusión de los llegados ayer, hoy serán muchos mas.
Es por ello que avisamos con esta NOTICIA URGENTE sobre el peligro de desempaquetar los ficheros CAB recibidos en mails no solicitados, y que por la novedad, aun no son controlados por los antivirus actuales Iremos informando puntualmente en el blog de SATINFO, de las novedades al respecto, dado que consideramos que es el peligro mas seguro que actualmente acecha a todos los usuarios que reciben mails y a veces no obran con la precaución aconsejada de no ejecutar ficheros anexados a mails no solicitados…
Cómo prevenir dichos mails
El mejor método para prevenir sobre este tipo de mails es disponer de una solución perimetral, para que el mail ya no llegue al destinatario.
Esta solución debería disponer de un buen filtro de Anti-Spam, control de reputación y para estar más seguros, impedir anexos por extensiones.
Las extensiones a bloquear son del tipo ejecutables, como pueden ser EXE, SCR, PIF, CPL, CMD, etc. y teniendo en cuenta que puede llegar el fichero anexado directamente o comprimido dentro de un ZIP, RAR, CAB, etc., dicha solución debe ser capaz de examinar dentro de dichos ficheros empaquetados.
Si no se dispone de una solución perimetral, el mail llegará al usuario, quedando como última barrera el antivirus instalado en dicho sistema y también del buen criterio del usuario al recibir algo no esperado o dudoso.
Recordamos que:
-
No ejecutar ficheros anexados a mails no solicitados
-
No pulsar sobre los enlaces ni en imágenes de los mismos
-
No rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias
-
Mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos
-
Configurar a nivel MUY ALTO la sensibilidad heuristica del “Analizador en tiempo real” y el “Análisis bajo demanda”
Nota: para que la detección heuristica de VirusScan funciones, el ordenador debe estar conectado a Internet
Eliminación
Para eliminar el virus, es necesario iniciar el sistema en “Modo seguro con funciones de red” y conexión a Internet, lanzar un análisis bajo demanda teniendo configurado el “Nivel de sensibilidad” a “Muy alto” dentro de la pestaña “Rendimiento”. Los ficheros cifrados no se pueden recuperar, deben restaurarse de la copia de seguridad.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 29 de Enero de 2015