{"id":1248,"date":"2015-05-04T10:54:29","date_gmt":"2015-05-04T08:54:29","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=1248"},"modified":"2015-05-04T10:54:29","modified_gmt":"2015-05-04T08:54:29","slug":"peligrosos-ransomwares-de-moda-actualmente-cryptolocker-ctblocker-y-teslacrypt","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2015\/peligrosos-ransomwares-de-moda-actualmente-cryptolocker-ctblocker-y-teslacrypt\/","title":{"rendered":"Peligrosos Ransomwares de moda actualmente: CRYPTOLOCKER, CTBLOCKER y TESLACRYPT"},"content":{"rendered":"

Conviene <\/span><\/span><\/span>tener<\/span><\/span><\/span><\/span> cuidado con todos los malwares que pululan por <\/span><\/span><\/span>Internet<\/span><\/span><\/span>, pero <\/span><\/span><\/span>especialmente<\/span><\/span><\/span><\/span> con los que se reciben por correo electr\u00f3nico, que a pesar de haber avisado repetidamente de sus continuas variantes y peligrosas consecuencias (cifrado de los ficheros de datos de la red a la que tienen acceso, incluido servidor), no paran las incidencias de los usuarios con los mismos.<\/span><\/span><\/span><\/p>\n

Sirva este aviso para recordar, una vez mas, y concienciar mas si cabe, sobre dichas tres familias de ransomwares, de los que ofrecemos enlaces a noticias significativas sobre ellos, aunque se nos pueda considerar de cansinos por la insistencia en el particular, pero poco importa si con ello conseguimos evitar infecciones y efectos <\/span>consecuentes<\/span> de dichos malwares.<\/span><\/span><\/span><\/p>\n

\n

1.- CRYPTOLOCKER<\/b><\/span><\/span><\/span><\/strong><\/p>\n

Empezamos con el CRYPTOLOCKER, que actualmente es del que recibimos mas incidencias de usuarios afectados, est\u00e1 llegando en un falso mail de Correos que avisa de una carta certificada…, como ya hemos indicado una infinidad de veces, pero del que, a pesar de ello, continuamente hay usuarios que caen en su trampa:<\/span><\/span><\/span><\/p>\n

https:\/\/www.satinfo.es\/blog\/2015\/nueva-variante-de-ransomware-cryptolocker-recibido-en-falso-mail-de-correos\/<\/span><\/span><\/span><\/a><\/p>\n

El codificado que utiliza el hacker en este caso es un RSA 2048 asim\u00e9trico, sin posibilidad de decodificaci\u00f3n sin la llave que posee el hacker, diferente para cada infecci\u00f3n, aunque con algunas variantes del mismo se pueda recuperar la informaci\u00f3n a partir de las copias que hace autom\u00e1ticamente el SHADOWCOPY en windows7 (no en XP, ni en servidores, pues aunque aunque est\u00e9 disponible en estos \u00faltimos dicha aplicaci\u00f3n, no est\u00e1 activa por defecto). Ver informaci\u00f3n de ello en:<\/span><\/span><\/span><\/p>\n

https:\/\/www.satinfo.es\/blog\/2015\/muy-importante-posible-recuperacion-de-ficheros-cifrados-con-el-cryptolocker-torrent-en-windows-7-y-similares\/<\/span><\/span><\/span><\/a><\/p>\n

Y claro est\u00e1, siempre cabe, durante los primeros d\u00edas de la infecci\u00f3n, recurrir al pago del rescate, aunque no sea recomendable por secundar los interesas del hacker, y siempre lo mas eficaz es restaurarlos a partir de la copia de seguridad, una vez eliminado el virus, para lo cual debe arrancarse en MODO SEGURO y lanzar el ELISTARA si ya lo detecta y sino enviarnos muestra del fichero que indiquemos para controlarlo, tras analizar el informe del SPROCES.<\/span><\/span><\/span><\/p>\n

Cabe indicar que los ficheros cifrados por dicho virus, son marcados por el a\u00f1adido de la palabra \u00ab.encrypted\u00bb a su extensi\u00f3n.<\/span><\/span><\/span><\/p>\n

\n

2.- CTBLOCKER<\/b><\/span><\/span><\/span><\/strong><\/p>\n

El segundo es el del que estamos recibiendo mas cantidad de nuevas variantes (del orden de 8 y 9 cada d\u00eda) y que l\u00f3gicamente los antivirus no detectan hasta que reciben muestras de los afectados, es el CTBLOCKER, que acostumbra a llegar en mails muy escuetos que anexan un fichero empaquetado .CAB que contiene un .SCR, cuya ejecuci\u00f3n instala en carpeta temporal, un EXE, que es el que acaba haciendo la faena de cifrado de los documentos de toda la red a la que puede acceder. Ver informaci\u00f3n del \u00faltimo de ellos:<\/span><\/span><\/span><\/p>\n

https:\/\/www.satinfo.es\/blog\/2015\/recibida-una-ultima-variante-de-ctblocker-apenas-controlada-por-los-actuales-av-solo-3-de-55av\/<\/span><\/span><\/span><\/a><\/p>\n

Al igual que en el caso del CRYPTOLOCKER, puede probarse alguna de las posibilidades de recuperaci\u00f3n de los ficheros cifrados por dichos ransomwares, lo cual ya ofrecimos en su d\u00eda y de lo cual indicamos enlace a dicha informaci\u00f3n:<\/span><\/span><\/span><\/p>\n

https:\/\/www.satinfo.es\/blog\/2015\/ante-la-proliferacion-de-incidencias-con-el-dichoso-cryptolocker-ofrecemos-enlaces-a-noticias-ya-publicadas-sobre-posible-recuperacion-de-ficheros-cifrados\/<\/span><\/span><\/span><\/a><\/p>\n

E igualmente que en el caso anterior, aparte de poder recurrir al pago del rescate, siempre lo mas recomendable es restaurarlos a partir de la copia de seguridad, una vez eliminado el virus, para lo cual debe arrancarse en MODO SEGURO y lanzar el ELISTARA si ya lo detecta, en caso contrario enviarnos muestra del fichero que indiquemos para su control, tras analizar el informe del SPROCES.<\/span><\/span><\/span><\/p>\n

Cabe indicar que los ficheros cifrados por \u00e9l, son marcados por el a\u00f1adido de una palabra aleatoria, como \u00ab.BULPKHJ\u00bb, a su extensi\u00f3n.<\/span><\/span><\/span><\/p>\n

\n

3.- TESLACRYPT<\/b><\/span><\/span><\/span><\/strong><\/p>\n

Este es el ransomware que codifica con un simple AES 256, sim\u00e9trico, (aunque en su POPUP indique que lo hace con RSA2048, informaci\u00f3n que es una simple copia de la ventana del CRYPTOLOCKER)<\/span><\/span><\/span><\/p>\n

\n

\"\"<\/p>\n

que gracias a lo cual, y a que la clave utilizada es guardada en un fichero del ordenador infectado, se puede recuperar la informaci\u00f3n perdida con utilidades disponibles en Internet, como el TESLADECRYPT.EXE:<\/span><\/span><\/span><\/p>\n

https:\/\/www.satinfo.es\/blog\/2015\/noticion-disponible-herramienta-para-descifrar-el-teslacrypt\/<\/span><\/span><\/span><\/a><\/p>\n

Ver opciones de dicha utilidad:<\/span><\/span><\/span><\/p>\n

Here is the list of command line options<\/i><\/span><\/span><\/span><\/p>\n

\/help \u2013 Show the help message
\n\/key \u2013 Manually specify the master key for the decryption (32 bytes\/64 digits)
\n\/keyfile \u2013 Specify the path of the \u201ckey.dat\u201d file used to recover the master key.
\n\/file \u2013 Decrypt an encrypted file
\n\/dir \u2013 Decrypt all the \u201c.ecc\u201d files in the target directory and its subdirs
\n\/scanEntirePc \u2013 Decrypt \u201c.ecc\u201d files on the entire computer
\n\/KeepOriginal \u2013 Keep the original file(s) in the encryption process
\n\/deleteTeslaCrypt \u2013 Automatically kill and delete the TeslaCrypt dropper (if found active in the target system)<\/i><\/span><\/span><\/span><\/p>\n

La \u00faltima muestra que recibimos de este malware ya est\u00e1 controlada con el ELISTARA actual, adem\u00e1s de que los antivirus McAfee y Kaspersky tambi\u00e9n lo controlan:<\/span><\/span><\/span><\/p>\n

https:\/\/www.satinfo.es\/blog\/2015\/nueva-variante-de-ransomware-teslacrypt-que-pasamos-a-controlar-con-elistara-32-19\/<\/span><\/span><\/span><\/a><\/p>\n

En su caso, los ficheros cifrados por \u00e9l, son marcados por el a\u00f1adido de la palabra \u00ab.ECC\u00bb<\/span><\/span><\/span><\/p>\n

\nSirva esta exposici\u00f3n de los tres ransomwares mas activos del momento, para que los usuarios se conciencien de los peligros existentes en los correos electr\u00f3nicos que se reciben de cualquier parte, aunque sea de un conocido o bajo el falso nombre de una empresa conocida (CORREOS, UPS, DHL, etc), y que debe aplicarse la norma de:<\/p>\n

<\/span><\/span><\/span>\u00a1\u00a1\u00a1 <\/b><\/span><\/span><\/span>NO EJECUTAR ARCHIVOS ANEXADOS A MAILS NO SOLICITADOS, ni pulsar en enlaces ni <\/b><\/span><\/span><\/span><\/strong>im\u00e1genes<\/b><\/span><\/span><\/span><\/strong> de los mismos !!!<\/b><\/span><\/span><\/span><\/strong><\/p>\n

Esperamos que lo indicado les sea de utilidad.<\/span><\/span><\/span><\/p>\n


\nSATINFO<\/b><\/span><\/span><\/span>, <\/b><\/span><\/span>SERVICIO DE ASISTENCIA T\u00c9CNICA INFORMATICA<\/b><\/span><\/span> <\/b>4<\/b><\/span><\/span> de <\/b><\/span><\/span>Mayo<\/b><\/span><\/span> <\/b>de 201<\/b><\/span><\/span>5<\/b><\/span><\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Conviene tener cuidado con todos los malwares que pululan por Internet, pero especialmente con los que se reciben por correo electr\u00f3nico, que a pesar de haber avisado repetidamente de sus continuas variantes y peligrosas consecuencias (cifrado de los ficheros de datos de la red a la que tienen acceso, incluido servidor), no paran las incidencias […]<\/a><\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[655,891,892],"tags":[465,718,719,720,464,721],"class_list":["post-1248","post","type-post","status-publish","format-standard","hentry","category-655","category-otros","category-todos","tag-cryptolocker","tag-ctblocker","tag-ecc","tag-encrypted","tag-ransomware","tag-teslacrypt","category-655-id","category-891-id","category-892-id","post-seq-1","post-parity-odd","meta-position-corners","fix"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/1248","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/comments?post=1248"}],"version-history":[{"count":0,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/1248\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/media?parent=1248"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/categories?post=1248"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/tags?post=1248"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}