Nuevos ataques de Cryptolocker

ALERTA!!! Este mensaje es de alta importancia y deberías leerlo completamente para proteger tus archivos de posibles pérdidas irreparables.

Estos últimos días se esta prodigando de nuevo un ataque de virus tipo ransomware, palabra extraña que podríamos traducir como secuestro de software (ransom = rescate y ware = software).

¿En que consiste?

Pues este tipo de ataques básicamente consta de un correo electrónico, recibido en nuestra bandeja de entrada enviado o bien por una persona aparentemente conocida con un nombre bastante estándar tipo Diego Rubio (este llego a PGA ayer mismo), Sergio López, o bien por una empresa importante tipo DHL, Seur, Correos o Interflora entre otros.

El cuerpo del mensaje lleva un texto normalmente bastante corto que incita la curiosidad del usuario y un enlace a un supuesto fichero que realmente es el que genera el problema. La idea, que pinchemos en dicho enlace.

¿Como lo hacen?

Tal como hemos dicho antes, el texto suele ser de los que pican la curiosidad y hacen referencia a alguna compra que supuestamente hemos hecho por internet, o un pago que nos han hecho o una reclamación de facturas pendientes, etc.

Para darle seriedad al mensaje en el remitente aparece un dominio “conocido”, en la imagen siguiente, que es el correo que recibimos ayer, se puede ver que el mensaje aparenta venir de interflora aunque la dirección del remitente si nos fijamos un poco es bastante “falsa”.

Ejemplo ransomware

¿y si caigo que?

Pues aquí viene el problema, si te ha picado la curiosidad por ver el mensaje o si has pinchado creyendo que el mensaje es real, aunque no tengas nada que ver con el remitente (en este caso con Interflora), normalmente se descargara un fichero zip en tu ordenador que lleva dentro un fichero.

Ese fichero, por el icono que lleva, aparenta ser un fichero Word, Excel o Adobe PDF para dar credibilidad, y como tal como abrimos este tipo de ficheros, lo hacemos con un doble click. El doble click, no hace más que ejecutar un script (aplicación que ejecuta una lista de ordenes en nuestro equipo) y automáticamente empieza a hacer su trabajo:

ENCRIPTA TODOS LOS FICHEROS DEL EQUIPO, documentos Word, Excel, bases de datos Access o similares, imágenes, archivos PDF y de texto y lo que es más grave, NO SUELE HABER VUELTA ATRÁS. Solo una buena copia de seguridad te salvará del desastre

La encriptación codifica los archivos y los deja inaccesibles y ahora el autor del ataque nos ofrece el rescate (de ahí el nombre de ransomware) de los mismos a cambio de una cantidad excesiva de dinero (normalmente superior a los 500€).

Obviamente pagar no es la solución ya que es imposible rastrear el pago y nadie asegura que nos vayan a facilitar una solución, incluso la policía informática recomienda no hacer el pago para evitar que sigan apareciendo nuevos ataques de este tipo. Por supuesto si no ganasen nada de dinero no los harían.

Recomendaciones

Lo primero como ya comentamos en otras ocasiones es el sentido común, si no has comprado en Interflora, si no has facilitado tu correo a DHL o a la Agencia Tributaria, no abras un correo que te envíen en su nombre, o  por lo menos duda de él.

Para prevenir este ataque, varias opciones:

  1. No abrir el enlace que lleva el mensaje.Obviamente sino abrimos el enlace que viene con el correo, el ataque no se activa, eliminamos el correo y problema resuelto.
  2. Disponer de un buen antivirus actualizado y operativo. Nosotros recomendamos ESET o Kaspersky en cualquiera de sus versiones. Puedes descargar de aquí la ultima versión de ESET Nod32 válida para 30 días.
  3. Disponer de copias de seguridad diarias y comprobadas. Con nuestra solución en la nube, podrías restaurar tus archivos en pocas horas y estar operativo de nuevo en el menor tiempo posible.
  4. En caso de duda consúltenos antes de hacer nada.

El virus es muy similar al de virus de Correos de hace un tiempo (Mayo de 2015) del cual ya avisamos en su día y que causo varios problemas en algunos ordenadores.

Deja un comentario