{"id":1467,"date":"2016-02-25T16:16:40","date_gmt":"2016-02-25T15:16:40","guid":{"rendered":"http:\/\/www.satinfo.es\/noticies\/?p=1467"},"modified":"2016-02-25T16:29:08","modified_gmt":"2016-02-25T15:29:08","slug":"ransomwares-teslacrypt-y-locky","status":"publish","type":"post","link":"https:\/\/www.satinfo.es\/noticies\/2016\/ransomwares-teslacrypt-y-locky\/","title":{"rendered":"Ransomwares: Teslacrypt y Locky"},"content":{"rendered":"

Teslacrypt y Locky, los Ransomwares que est\u00e1n proliferando anexados a mails masivos, entre otros m\u00e9todos, uno anexando ficheros EXE y otro generalmente a trav\u00e9s de un DOC con macros descargando el malware<\/span><\/span><\/p>\n

Estamos en la \u00e9poca de los ransomwares, malwares que una vez ejecutados en un ordenador, cifran la informaci\u00f3n de los ficheros de datos de unidades compartidas, incluido el servidor.<\/span><\/span><\/span><\/p>\n

Es dif\u00edcil que quien lea estas lineas no haya sufrido ya alg\u00fan ataque de un ransomware y sepa lo costoso que resulta recuperar la informaci\u00f3n, bien desde la copia de seguridad, si se tiene, o bien pagando el rescate al hacker, nunca aconsejable salvo contadas excepciones de \u201cvida o muerte\u201d \u2026<\/span><\/span><\/span><\/p>\n

Entendiendo que no hace falta explicar el detalle de los ransomwares en general, las dos familias que destacan actualmente, son la del TESLACRYPT y la del LOCKY<\/span><\/span><\/span><\/p>\n

Del primero, del que ya conocemos variantes iniciales desde hace algunos meses, que a\u00f1ad\u00edan a los ficheros cifrados las extensiones .CCC, .EZZ, .VVV. \u2026 y ahora recientemente .MICRO y .MP3, ha ido evolucionando hasta llegar a cifrar con un algoritmo RSA4096 que es pr\u00e1cticamente imposible de descifrar, si no se cuenta con el hacker, pero ademas, este ha ido tambi\u00e9n cambiando el m\u00e9todo, hasta llegar \u00faltimamente a borrar el fichero malware una vez terminada la \u201cfaena\u201d, con lo cual encontrar el culpable y analizarlo para poder controlarlo, se hacia mas dif\u00edcil, si no se cazaba en su fase de cifrado inicial, antes de que se borrara el fichero malware.<\/span><\/span><\/span><\/p>\n

Pero desde hace tres o cuatro d\u00edas, la variante del TESLACRYPT que identificamos como\u201dR\u201d, siguiendo las letras del abecedario para diferenciar las diferentes variantes, que, al igual que el \u201cQ\u201d, anterior a este \u00faltimo, a\u00f1ade .MP3, mientras que los que a\u00f1ad\u00edan .MICRO eran los M, N, O, P, con diferentes caracter\u00edsticas en los ficheros de mensajes para el pago del rescate y de las claves de lanzamiento, pues los de la serie \u201cQ\u201d eran de los que borraban el fichero malware al terminar el cifrado, mientras que los actuales, de la serie R, el fichero persiste y, si bien deja de estar activo cuando acaba el cifrado, <\/span><\/span>instala <\/span><\/span>otra clave diferente de lanzamiento del mismo fichero, para que se ponga en marcha en el siguiente reinicio, y si el usuario se piensa que el virus ya ha terminado la faena y restaura la copia de seguridad, se encuentra de nuevo con que vuelven a cifrarse los ficheros al siguiente reinicio.<\/span><\/span><\/span><\/p>\n

Hemos visto en <\/span><\/span>alg\u00fan<\/span><\/span> informe del SPROCES, hasta 9 claves diferentes lanzando el mismo fichero, se\u00f1al de que el usuario <\/span><\/span>hab\u00eda<\/span><\/span> reiniciado 9 veces desde la entrada de dicho malware\u2026<\/span><\/span><\/span><\/p>\n

Afortunadamente con el actual ELISTARA, ademas de controlar <\/span><\/span>espec\u00edficamente<\/span><\/span> los que hemos ido recibiendo, pedidos por la heuristica de dicha utilidad, ya detecta, sea cual fuere el nombre y contenido de dicho ransomware TESLACRYPT-R, lo aparca en C:\\muestras, avisando al usuario de la detecci\u00f3n y pidiendo que nos <\/span><\/span>env\u00ede<\/span><\/span> muestra para analizar y controlar.<\/span><\/span><\/span><\/p>\n

Y esta es la historia que hemos ido contando en las noticias diarias de nuestro blog, respecto a las ultima variantes del dichoso TESLACRYPT, pero hay otro que est\u00e1 haciendo de las suyas a\u00f1adiendo .LOCKY al final de los ficheros cifrados, ademas de cambiar el nombre del fichero, si bien este no se recibe en un EXE directamente, sino que es mas elaborado y salvo raras excepciones que hemos visto que llega en un JS, se recibe en ficheros DOC y DOCM, con macros maliciosas que descargan el ransomware en cuesti\u00f3n.<\/span><\/span><\/span><\/p>\n

A los ficheros <\/span><\/span>cifrados<\/span><\/span> les cambia el nombre, <\/span><\/span>convirti\u00e9ndolos<\/span><\/span> por ejemplo en:<\/span><\/span><\/span><\/p>\n

8BC6F38F94390507 (VARIABLE) ****************.locky<\/span><\/span><\/span><\/p>\n

lo cual hace mas <\/span><\/span>dif\u00edcil<\/span><\/span> saber cuales <\/span><\/span>eran dichos ficheros<\/span><\/span>, aunque de poco servir\u00eda\u2026<\/span><\/span><\/span><\/p>\n

De este ransomware LOCKY publicamos detalle de monitorizacion en:<\/span><\/span><\/span><\/p>\n

https:\/\/www.satinfo.es\/blog\/2016\/nueva-variante-de-ransomware-que-cambia-la-extension-de-los-ficheros-a-locky\/<\/span><\/span><\/a><\/span><\/p>\n

D<\/span><\/span>el TESLACRYPT-R, arriba indicado, se puede ver noticia al respecto en:<\/span><\/span><\/span><\/p>\n

https:\/\/www.satinfo.es\/blog\/2016\/67314\/<\/span><\/span><\/a><\/span><\/p>\n

Posible recuperaci\u00f3n con las \u00faltimas variantes de Teslacrypt:<\/p>\n

https:\/\/www.satinfo.es\/blog\/2016\/posible-recuperacion-de-ficheros-cifrados-en-las-estaciones-de-trabajo-afectadas-por-las-ultimas-variantes-del-ransomware-teslacrypt\/<\/a><\/p>\n

Y recordamos nuestra Biblia de <\/span><\/span>protecci\u00f3n<\/span><\/span> contra los ransomwares en general, que est\u00e1 disponible en:<\/span><\/span><\/span><\/p>\n

https:\/\/www.satinfo.es\/blog\/2015\/62372\/<\/span><\/span><\/a><\/span><\/p>\n

Mucho cuidado con toda esta moda de cifrado malicioso de ficheros, que est\u00e1n proliferando continuamente, y que las Normas a Seguir para evitarlos, indicadas en el \u00faltimo enlace, son muy importantes, conviene que las conozcan todos los usuarios, para tenerlas en cuenta, ya que, en definitiva, son los que pueden evitar el desastre, prestando atenci\u00f3n a lo indicado.<\/span><\/span><\/span><\/p>\n


\nSATINFO<\/b><\/span><\/span><\/span>, <\/b><\/span><\/span>SERVICIO DE ASISTENCIA T\u00c9CNICA INFORMATICA<\/b><\/span><\/span> <\/b>25<\/b><\/span><\/span> de <\/b><\/span><\/span>Febrero<\/b><\/span><\/span> <\/b>de 201<\/b><\/span><\/span>6<\/b><\/span><\/span><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Teslacrypt y Locky, los Ransomwares que est\u00e1n proliferando anexados a mails masivos, entre otros m\u00e9todos, uno anexando ficheros EXE y otro generalmente a trav\u00e9s de un DOC con macros descargando el malware Estamos en la \u00e9poca de los ransomwares, malwares que una vez ejecutados en un ordenador, cifran la informaci\u00f3n de los ficheros de datos […]<\/a><\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[822,891,892],"tags":[840,464,721],"class_list":["post-1467","post","type-post","status-publish","format-standard","hentry","category-822","category-otros","category-todos","tag-locky","tag-ransomware","tag-teslacrypt","category-822-id","category-891-id","category-892-id","post-seq-1","post-parity-odd","meta-position-corners","fix"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/1467","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/comments?post=1467"}],"version-history":[{"count":0,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/posts\/1467\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/media?parent=1467"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/categories?post=1467"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.satinfo.es\/noticies\/wp-json\/wp\/v2\/tags?post=1467"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}