{"id":1163,"date":"2015-01-29T12:02:40","date_gmt":"2015-01-29T11:02:40","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=1163"},"modified":"2015-02-05T17:43:16","modified_gmt":"2015-02-05T16:43:16","slug":"nuevo-metodo-usado-para-el-envio-del-conocido-ransomware-ctb-locker","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2015\/nuevo-metodo-usado-para-el-envio-del-conocido-ransomware-ctb-locker\/","title":{"rendered":"Nuevo m\u00e9todo usado para el env\u00edo del conocido RANSOMWARE CTB-LOCKER"},"content":{"rendered":"

Durante la semana pasada y aun sigue en esta, son muchas las incidencias con el <\/span>fat\u00eddico<\/span> CTB-LOCKER, de las que hemos ido dando <\/span>informaci\u00f3n<\/span> de las variantes mas significativas, pero ayer tarde llegaron nuevos mails con una nota <\/span>com\u00fan<\/span> que los diferencia de los anteriores y es que los anexados a dichos son ficheros .CAB, en lugar de los <\/span>t\u00edpicos<\/span> ZIP usados en la <\/span>mayor\u00eda<\/span> de los mails maliciosos.<\/span><\/p>\n

Sin duda muchos usuarios ya saben que los .CAB son un sistema de empaquetado usado por Microsoft para distribuci\u00f3n de algunas de sus aplicaciones, y que, si bien no han sido usados hasta ahora para el env\u00edo de malwares, son tan operativos como los ZIP o los RAR, agravados por que el desconocimiento de que este m\u00e9todo es ahora usado por los virus, puede facilitar la introducci\u00f3n de los mismos en los equipos de los usuarios.<\/span><\/p>\n

Se da la circunstancia, ademas, que los CAB recibidos ayer desempaquetaban ficheros .SCR aun no controlados por la inmensa mayor\u00eda de antivirus, como puede verse en las Noticias del blog de SATINFO de ayer, 28-1-2015, al respecto y que ayer mismo ya ofrecimos su detecci\u00f3n, control y eliminaci\u00f3n con la versi\u00f3n del ELISTARA 31.53 que subimos a la web a las 18 horas, adelantando al m\u00e1ximo su disponibilidad para quienes hubieran recibido dicho tipo de mails y quisieran escanear el fichero que conten\u00edan dichos .CAB, un SCR que era una nueva variante de downloader de dicho CTB-LOCKER.<\/span><\/p>\n

Hoy seguiremos monitorizando las nuevas variantes recibidas ayer, y a\u00f1adiremos al ELISTARA los .EXE descargados por dichos downloaders .SCR que desempaquetan los nuevos CAB, ademas de los nuevos que nos vayan enviando, que lamentablemente esperamos que, vista la profusi\u00f3n de los llegados ayer, hoy ser\u00e1n muchos mas.<\/span><\/p>\n

Es por ello que avisamos con esta NOTICIA URGENTE sobre el peligro de desempaquetar los ficheros CAB recibidos en mails no solicitados, y que por la novedad, aun no son controlados por los antivirus actuales Iremos informando puntualmente en el blog de SATINFO, de las novedades al respecto, dado que consideramos que es el peligro mas seguro que actualmente acecha a todos los usuarios que reciben mails y a veces no obran con la precauci\u00f3n aconsejada de no ejecutar f<\/span>icheros anexados a mails no solicitados…<\/p>\n

C\u00f3mo prevenir dichos mails<\/strong><\/span><\/p>\n

El mejor m\u00e9todo para prevenir sobre este tipo de mails es disponer de una soluci\u00f3n perimetral, para que el mail ya no llegue al destinatario.<\/p>\n

Esta soluci\u00f3n deber\u00eda disponer de un buen filtro de Anti-Spam, control de reputaci\u00f3n y para estar m\u00e1s seguros, impedir anexos por extensiones.<\/p>\n

Las extensiones a bloquear son del tipo ejecutables, como pueden ser EXE, SCR, PIF, CPL, CMD, etc. y teniendo en cuenta que puede llegar el fichero anexado directamente o comprimido dentro de un ZIP, RAR, CAB, etc., dicha soluci\u00f3n debe ser capaz de examinar dentro de dichos ficheros empaquetados.<\/p>\n

Si no se dispone de una soluci\u00f3n perimetral, el mail llegar\u00e1 al usuario, quedando como \u00faltima barrera el antivirus instalado en dicho sistema y tambi\u00e9n del buen criterio del usuario al recibir algo no esperado o dudoso.<\/p>\n

Recordamos que:<\/p>\n