Oleada de correos con fichero anexado o enlaces de descarga y utilidades para su detección y eliminación
Nuevos ataques del Cryptolocker con el gancho “FACTURA” , de los que se han recibido mails con anexos o enlaces de descarga de zips con factura2, factura4, factura6, factura7, factura9, factura10, … que contienen .js que instala Cryptolocker de nueva generación, de los que cuando codifican dejan los ficheros cifrados con extensión final de 6 letras aleatorias. También se han despertado otros virus que llegan en correos diversos, de los que informamos del texto para evitar que sean ejecutados los ficheros anexados a los mismos, ya sean ZIP, DOC, enlaces u otros…
Ejemplos:
Asunto: Gracias por su compra en Samsung
De: Tienda Samsung <confirmacion@samsung-devices.email>
Fecha: 27/02/2017 19:32
Para: destinatario
Estimado cliente,
Agradecemos su compra en nuestra tienda y adjuntamos recibo de
la misma. Si tiene algún inconveniente con su compra puede
encontrar procedimientos para realizar cambios o cancelarla
dentro del recibo.
Una vez pasadas las 24 horas, ya no se podrán hacer cambios en su
compra. Dentro del recibo se detalla fecha, día y hora de entrega
de su compra.
Volvemos a agradecerle por su compra,
Samsung Electronics
Ejemplo 2:
Asunto: Esta es tu factura
From: “Remitente” <remitente@dominio.es>
To: <destinatario>
Subject: Esta es tu factura
Date sent: Tue, 28 Feb 2017 11:58:40 +0100
Hola Destinatario
Información sobre la factura: https://dl.dropboxusercontent.com/s/f04ldmzwi9p????/factura10…
Saludos,
Remitente
Ejemplo 3:
From: “Remitente” <info@dominio.dk>
To: <destinatario>
Subject: su factura
Date sent: Mon, 27 Feb 2017 16:15:05 +0100
Hola
Detalles del pago: https://dl.dropboxusercontent.com/s/qtn7gehcz84????/factura2…
Cordialmente,
Remitente
Ejemplo 4, muy escueto:
Asunto: Fine 375893
De: “remitente” <remitente@dominio.es>
Fecha: 28/02/2017 14:57
Para: <destinatario>
recibo 0398585
Ejemplo 5: Este que envia un DOC con macros maliciosas:
From: “Remitente” <Remitente@xmail.es>
To: “destinatario>
Subject: su factura
Date sent: Tue, 28 Feb 2017 14:13:41 +0100
DESTINATARIO
Esta es tu factura.
Saludos cordiales,
Remitente
Sirvan estos textos de muestra como ejemplo de los que están llegando en estos días, si bien no paran de idear nuevas maneras de engañar a los sufridos usuarios para conseguir que ejecuten los ficheros que infectarán el ordenador. Posiblemente cifrarán los datos de las unidades compartidas, así que hay desconfiar de todo y ante cualquier duda pueden consultarnos sobre lo que reciban sospechoso, antes de que sea demasiado tarde.
Recuerden la conveniencia de tener configurado el NIVEL heurístico MUY ALTO en su protección antivirus
También es muy IMPORTANTE tener “Copias de Seguridad” al día e inaccesibles por los usuarios para evitar su cifrado.
Si tienen alguna incidencia con el Cryptolocker, piensen que ya es un viejo conocido que con nuestras utilidades y experiencia, lo eliminamos rápidamente o investigamos si se trata de nuevas variantes.
Para ello contamos con:
CLRANSOM.EXE: utilidad que rápidamente determina el posible ordenador causante de la infección
ELISTARA.EXE: utilidad de actualización diaria que controla las variantes conocidas y heurísticamente las posibles variantes de las mismas
SPROCES.EXE: utilidad que visualiza y permite eliminar fácilmente las claves que se consideren maliciosas -solo para expertos-, la cual genera el informe C:\SPROCLOG.EXE, que permite descubrir los lanzamientos de ficheros maliciosos.
BUSCAREG.EXE: utilidad para localizar y eliminar ficheros ejecutados en el registro de sistema
Aparte de otras cientos mas para otras historias, pero con las 4 indicadas y con nuestros inapreciables antivirus, vamos controlando el dichoso RANSOMWARE CRYPTOLOCKER. ELISTARA al igual que los antivirus, requieren ser actualizados diariamente para que puedan detectar las últimas variantes aparecidas en Internet.
Ante cualquier duda o comentario, rogamos nos consulten.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMÁTICA 2 de Marzo de 2017