{"id":1154,"date":"2015-01-22T09:53:09","date_gmt":"2015-01-22T08:53:09","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=1154"},"modified":"2015-02-05T13:05:00","modified_gmt":"2015-02-05T12:05:00","slug":"nueva-variante-de-cryptolocker-el-ctb-locker","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2015\/nueva-variante-de-cryptolocker-el-ctb-locker\/","title":{"rendered":"Nueva variante de Cryptolocker, el CTB-LOCKER"},"content":{"rendered":"

Se est\u00e1 recibiendo una nueva oleada de mails cuyo anexo lleva un fichero zip el cual una vez descomprimido, contiene un fichero con extensi\u00f3n .scr que se trata de un downloader, que si se ejecuta, descarga el CTB-Locker, cifrando los datos de todas las unidades a las que se tenga acceso.<\/p>\n

Los mail recibidos son del siguiente tipo:<\/span><\/span><\/p>\n

Asunto:<\/strong> New message-JDAD2185523447E<\/em>
\nFecha:<\/strong> Mon, 19 Jan 2015 20:34:27 +0100<\/em>
\nDe:<\/strong> Remitente<\/em>
\nPara:<\/strong> destinatario<\/em>
\nFrom:<\/strong> +07913 306 018<\/em>
\nDate:<\/strong> 2015.01.18 19:34:17 CST<\/em><\/p>\n

Pages: 3<\/em>
\nID: JDAD2185523447E<\/em><\/p>\n

Filename: ungracious.zip<\/em><\/p>\n

—<\/em><\/p>\n

Nombre de la persona firmante<\/em><\/p>\n

Tal como indicamos <\/span><\/span>el fichero adjunto al mail es un ZIP, con la diferencia que al desempaquetarlo genera otro ZIP y \u00e9ste \u00faltimo es el que genera <\/span><\/span>un fichero de <\/span><\/span>extensi\u00f3n<\/span><\/span> .SCR , <\/span><\/span>esta t\u00e9cnic<\/span><\/span>a<\/span><\/span> la utilizan para aquellos sistemas de protecci\u00f3n que no examinen c\u00edclicamente un ZIP dentro de otro ZIP.<\/span><\/span><\/p>\n

El fichero .SCR se trata de<\/span><\/span> un downloader que infecta con un temporal .TMP y c<\/span><\/span>ifra<\/span><\/span> todos los ficheros de datos de <\/span><\/span>todas las <\/span><\/span>unidades <\/span><\/span>a las que el usuario tenga acceso, locales, extraibles y de red<\/span><\/span>.<\/span><\/span><\/span><\/p>\n

C\u00f3mo prevenir dichos mails<\/b><\/span><\/p>\n

El mejor m\u00e9todo <\/span><\/span>para prevenir sobre este tipo de mails <\/span><\/span>es disponer de una soluci\u00f3n perimetral, para que el mail ya no llegue al destinatario. <\/span><\/span><\/span><\/p>\n

Esta soluci\u00f3n deber\u00eda disponer de un buen filtro de Anti-Spam, control de reputaci\u00f3n y para estar m\u00e1s seguros, impedir anexos por extensiones.<\/span><\/span><\/p>\n

Las extensiones <\/span><\/span>a bloquear son del tipo ejecutables, como pueden ser EXE, <\/span><\/span>SCR, PIF, CPL, CMD, etc. <\/span><\/span>y teniendo en cuenta que puede llegar el fichero anexado directamente o comprimido dentro de un ZIP, RAR<\/span><\/span>, <\/span><\/span>etc., dicha soluci\u00f3n debe ser capaz de examinar dentro de dichos ficheros empaquetados.<\/span><\/span><\/span><\/p>\n

S<\/span><\/span>i no se dispone de una soluci\u00f3n perimetral, el mail llegar\u00e1 al usuario, quedando com<\/span><\/span>o<\/span><\/span> \u00faltima barrera el antivirus <\/span><\/span>instalado <\/span><\/span>en dicho sistema y tambi\u00e9n del buen criterio del usuario al recibir algo no esperado o dudoso.<\/span><\/span><\/span><\/p>\n

Recordamos que:<\/span><\/span><\/p>\n