Virus CryptoLocker – Información Importante

Se está produciendo una infección masiva de ‘CryptoLocker’, con una variante que los antivirus NO detectan y NO evitan.

Dado que en los últimos días varios de nuestros clientes han sufrido el  ataque del Virus CryptoLocker, y debido a su gravedad y rápida extensión de la infección, hemos creído oportuno informaros a fin de que podáis prevenirlo en vuestra organización, enviándolo a todos los usuarios si lo creéis conveniente.

El procedimiento es el siguiente sobre el Virus CryptoLocker:

• Cualquier usuario de la compañía recibe un e-mail simulando provenir de Correos. Éste indica que un paquete no ha podido ser entregado. La mayoría de estos correos son nominativos, es decir, el saludo va dirigido a la persona que está recibiendo el correo electrónico.

• El correo incluye un enlace para que el usuario haga clic en él y poder visualizar el estado del envío, o bien un adjunto que indica “invoice”.

• En cuanto el usuario abre el adjunto o clica en el enlace, es cuando se produce la infección.

Desde ayer, nuestra área de seguridad de Contec IT Services está trabajando activamente con el equipo de Seguridad de Symantec para ver cómo proceder.

¿Por qué me infecto si tengo un sistema antivirus?
Los Antivirus son necesarios pero no pueden ofrecer una garantía de detección del 100% de código malicioso, por eso se desarrollan e incorporan constantemente nuevas tecnologías avanzadas: Insight, Sonar… que permitan complementar la detección por firmas. Los ataques están cambiando y es necesario adoptar nuevas y más complejas medidas de protección.

¿Cómo se produce la infección del Virus CryptoLocker?
Por una acción del usuario. Llega un correo electrónico limpio, que normalmente tiene un link que solicita descargar un fichero simulando que es una factura o un envío urgente. Es el usuario al hacer clic en el link, que está ejecutando la acción de infección. También es posible que acceda a una página que intentará atacar e infectar el PC buscando vulnerabilidades o también denominados “agujeros de seguridad”.

¿Qué consecuencias tiene el Virus CryptoLocker?
Los ficheros a los que intente acceder el usuario, ya sean locales o almacenados en la red, se cifran, y al cabo de unos minutos/horas al usuario le aparece un pantallazo solicitando un pago para recibir la clave de descifrado.

¿Por qué llegan todos estos correos?
Porque los que se dedican a generarlos son profesionales y se lucran con ello.

¿Cómo proceder?
Es MUY importante lanzar un comunicado a la organización remitiendo la información que os proporcionamos en este correo. También recomendamos aplicar los parches de Windows, para que se instalen y solucionen esos agujeros de seguridad.

¿Qué ocurre si nos infectamos con el Virus CryptoLocker?
En la mayoría de casos habrá que restaurar del backup la información que ha quedado cifrada, recuperando los ficheros en su estado antes de la infección. En función del tiempo que se tarde en detectar ésta, pueden perderse horas o días de información.

Hay webs que indican que son capaces de recuperar los archivos dañados, pero no hay garantía.

Os adjuntamos algunos links que hablan de los problemas que causa:

http://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html

http://www.symantec.com/connect/blogs/cryptolocker-qa-menace-year

Comunicado a la organización que recomendamos enviar:

Extremar precauciones en los correos recibidos, debido a un peligroso ataque denominado Virus CryptoLocker.

¿Cómo se produce la infección de Cryptolocker?
Por una acción del usuario. Llega un correo electrónico limpio, que normalmente tiene un link que solicita descargar un fichero simulando que es una factura o un envío urgente. Es el usuario al hacer clic en el link, que está ejecutando la acción de infección. También es posible que acceda a una página que intentará atacar e infectar el PC buscando vulnerabilidades o también denominados “agujeros de seguridad”.

¿Qué consecuencias tiene?
Los ficheros a los que intente acceder el usuario, ya sean locales o almacenados en la red, se cifran, y al cabo de unos minutos/horas al usuario le aparece un pantallazo solicitando un pago para recibir la clave de descifrado. Nadie podrá acceder a esos ficheros porque estarán cifrados.

¿Por qué llegan todos estos correos?
Porque los que se dedican a generarlos son profesionales y se lucran con ello.

¿Lo detecta el antivirus?
En la actualidad hay variantes que NO detecta.

¿Puedo ver un ejemplo del correo que podría recibir?
Este es un ejemplo de lo que nuestros clientes están recibiendo:

¿Qué hacer?
• No se debe abrir ningún fichero que venga de un correo que desconocemos.
• Nunca se debe abrir un fichero donde el texto del correo sea un texto que claramente es genérico (del tipo: te adjunto factura…. y no conocemos procedencia).
• Nunca se debe abrir un fichero que venga con un adjunto con extensión .zip con password, excepto que conozcamos claramente el origen y nos haya informado que nos lo va a enviar.
• NUNCA se debe abrir un fichero con extensión .exe (La extensión es la información que hay a la derecha del punto. Por ejemplo. Xlsx).
• Y sobre todo, utilizar el sentido común (no enviar passwords, números de cuenta,…).

Confiamos en que esta información sea de utilidad.

Si necesitas más información contacta con Asnet Soluciones Informáticas, podemos ayudarte.

Este post Virus CryptoLocker – Información Importante aparece primero en Asnet Soluciones Informáticas.