Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Alerta por infecciones masivas por e-mail falso de un Aviso de "Correos"




Se ha detectado una campaña de phishing que suplanta la identidad de la empresa Correos con una supuesta "carta certificada" con el objetivo de engañar a los usuarios mediante ingeniería social, para que hagan clic en un enlace que les redirige a una web maliciosa que suplanta la identidad de la compañía y tratar de provocar que los usuarios descarguen e instalen (ejecuten) un virus que cifrará los archivos del ordenador.






La fisonomía del ataque se aleja de los típicos correos mal escritos y que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado.

En breve recibirá en su domicilio el envío XX remitido por YY .

Para más información, pinche en el nº de envío

Atentamente,

Atención al Cliente
Correos S.A.E.

Por favor, no responda a este correo electrónico ya que su petición no será atendida. La Información incluida en el presente correo electrónico es SECRETO PROFESIONAL Y CONFIDENCIAL, siendo para el uso exclusivo del destinatario arriba mencionado.

Si usted no es el destinatario del mensaje o ha recibido esta comunicación por error le informamos que esta totalmente prohibida cualquier divulgación, distribución o reproducción de esta comunicación.

Gracias.

Las últimas versiones son capaces incluso de cifrar lo que tengas conectado por USB, ya sea disco duro o pendrive, e incluso lo que tengas en otro ordenador conectado por LAN (con permiso de escritura de las carpetas compartidas claro).

También hay una variante llamada Teslacrypt que se aprovecha de una vulnerabilidad en Adobe Flash Player.
El dominio que están empleando (al menos en algunos de esos e-mails) es correos24.net 


TorrentLocker (fake CryptoLocker) Ransomware

Herramientas como TorrentUnlocker parecen no funcionar.

TorrentLocker es un programa ransomware archivo de cifrado que fue lanzado a finales de agosto 2014 que se dirige a todas las versiones de Windows, incluyendo Windows XP, Windows Vista, Windows 7 y Windows 8. Una vez que haya sido infectado con TorrentLocker va a escanear su ordenador para buscar archivos de datos y cifrarlos utilizando un cifrado AES para que luego ya no son capaces de ser abiertos

Una vez que la infección ha cifrado los archivos de datos en todas las letras de unidad del ordenador, se mostrará una ventana que contiene la nota de rescate y las instrucciones sobre cómo obtener los archivos de nuevo. Estas instrucciones incluyen un enlace a la CryptoLocker Comprar descifrado, que le informará de la cantidad actual de rescate, la cantidad de archivos encriptados, y las instrucciones sobre cómo hacer su pago. El costo del rescate comienza en alrededor de $ 550 USD y sube después de 3 días. El rescate debe ser pagado en Bitcoins y enviado a una dirección bitcoin que es único para cada usuario infectado..

TorrentLocker se distribuye a través de correos electrónicos que pretenden ser el envío de notificaciones, conducir o exceso de velocidad violaciónes, u otra correspondencia corporativa / gobierno. Algunos correos electrónicos contendrán el instalador de malware como archivos adjuntos ZIP o documentos de Word, mientras que otros contienen un enlace que le llevará al sitio falso asociado que se le pedirá que introduzca un código de 5 dígitos con el fin de descargar la notificación del envío o violación aviso. Cuando se introduce el código que se descarga un archivo ZIP que contiene un ejecutable que se disfrazan como archivos PDF. Ejemplos de cómo los archivos ZIP se nombran y cómo los ejecutables se disfrazan como PDF se pueden ver a continuación.
 

Cuando se abren los archivos PDF falsos van a infectar su computadora con la infección TorrentLocker e instalar los archivos de malware en la carpeta% AppData%,% Temp% o% carpetas% WinDir. Una vez infectado el instalador comenzará a escanear las letras de unidad de su computadora para los archivos de datos. Cuando TorrentLocker detecta un archivo de datos soportada se cifrará y luego agregar la información .encrypted al nombre del archivo. Los archivos de datos que se cifran incluyen las siguientes extensiones de archivo:

*.wb2, *.psd, *.p7c, *.p7b, *.p12, *.pfx, *.pem, *.crt, *.cer, *.der, *.pl, *.py, *.lua, *.css, *.js, *.asp, *.php, *.incpas, *.asm, *.hpp, *.h, *.cpp, *.c, *.7z, *.zip, *.rar, *.drf, *.blend, *.apj, *.3ds, *.dwg, *.sda, *.ps, *.pat, *.fxg, *.fhd, *.fh, *.dxb, *.drw, *.design, *.ddrw, *.ddoc, *.dcs, *.csl, *.csh, *.cpi, *.cgm, *.cdx, *.cdrw, *.cdr6, *.cdr5, *.cdr4, *.cdr3, *.cdr, *.awg, *.ait, *.ai, *.agd1, *.ycbcra, *.x3f, *.stx, *.st8, *.st7, *.st6, *.st5, *.st4, *.srw, *.srf, *.sr2, *.sd1, *.sd0, *.rwz, *.rwl, *.rw2, *.raw, *.raf, *.ra2, *.ptx, *.pef, *.pcd, *.orf, *.nwb, *.nrw, *.nop, *.nef, *.ndd, *.mrw, *.mos, *.mfw, *.mef, *.mdc, *.kdc, *.kc2, *.iiq, *.gry, *.grey, *.gray, *.fpx, *.fff, *.exf, *.erf, *.dng, *.dcr, *.dc2, *.crw, *.craw, *.cr2, *.cmt, *.cib, *.ce2, *.ce1, *.arw, *.3pr, *.3fr, *.mpg, *.jpeg, *.jpg, *.mdb, *.sqlitedb, *.sqlite3, *.sqlite, *.sql, *.sdf, *.sav, *.sas7bdat, *.s3db, *.rdb, *.psafe3, *.nyf, *.nx2, *.nx1, *.nsh, *.nsg, *.nsf, *.nsd, *.ns4, *.ns3, *.ns2, *.myd, *.kpdx, *.kdbx, *.idx, *.ibz, *.ibd, *.fdb, *.erbsql, *.db3, *.dbf, *.db-journal, *.db, *.cls, *.bdb, *.al, *.adb, *.backupdb, *.bik, *.backup, *.bak, *.bkp, *.moneywell, *.mmw, *.ibank, *.hbk, *.ffd, *.dgc, *.ddd, *.dac, *.cfp, *.cdf, *.bpw, *.bgt, *.acr, *.ac2, *.ab4, *.djvu, *.pdf, *.sxm, *.odf, *.std, *.sxd, *.otg, *.sti, *.sxi, *.otp, *.odg, *.odp, *.stc, *.sxc, *.ots, *.ods, *.sxg, *.stw, *.sxw, *.odm, *.oth, *.ott, *.odt, *.odb, *.csv, *.rtf, *.accdr, *.accdt, *.accde, *.accdb, *.sldm, *.sldx, *.ppsm, *.ppsx, *.ppam, *.potm, *.potx, *.pptm, *.pptx, *.pps, *.pot, *.ppt, *.xlw, *.xll, *.xlam, *.xla, *.xlsb, *.xltm, *.xltx, *.xlsm, *.xlsx, *.xlm, *.xlt, *.xls, *.xml, *.dotm, *.dotx, *.docm, *.docx, *.dot, *.doc, *.txt
Es importante destacar que TorrentLocker explorará todas las letras de unidad en el equipo, incluyendo las unidades extraíbles, unidades compartidas de red, o incluso las asignaciones de Dropbox. En resumen, si hay una letra de unidad en el equipo que se analizan en busca de archivos de datos por TorrentLocker.

¿Cómo recuperar los archivos y ficheros secuestrados?

  • Usando un backup (copia de seguridad)
  • Usando versiones anteriores
  • Shadow copy (Volume Snapshot Service, Volume Shadow Copy Service, VSS)
  • Usar herrmientas específicas. Ver en Otras soluciones

¿Cómo restaurar archivos cifrados por CryptoLocker?


Método 1: copias de seguridad

El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?

Método 2: Software de recuperación de archivos

Parece que cuando CryptoLocker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.

Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)

Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.

¿Cómo restaurar archivos cifrados por CryptoLocker con instantáneas de volumen?

Si se encuentra activada la opción "Restaurar sistema" del equipo, Windows crea copias instantáneas del sistema (Shadow Copy). Esta opción está disponible desde Windows XP Service Pack 2 en adelante.
Estos snapshots permiten restaurar una versión anterior de los archivos, antes de que fueran cifrados. Sin embargo, los archivos recuperados seguramente no serán la última versión del archivo.

Existen dos métodos que pueden utilizarse para restaurar archivos y carpetas desde el Volume Shadow Copy. El primer método es usar las funciones nativas de Windows y el segundo método es utilizar la aplicación gratuita Shadow Explorer. No hace daño probar ambos métodos y ver qué cual funciona mejor.

Para restaurar archivos individuales se puede hacer clic derecho sobre el archivo, ir a propiedades y seleccionar la versión anterior que se desea recuperar.


Haz click con el botón derecho en cualquier archivo cifrado o carpeta entera y click en "EXPORT..."



Utilidades para eliminar ransomware sin tener que pagar rescate


 Recursos afectados

Potencialmente cualquier usuario que haga uso del correo electrónico y reciba un correo malicioso de las características descritas en este aviso de seguridad.

Solución

Para una versión previa de este tipo de virus existía la siguiente solución:
Criptolocker: virus que cifra los ficheros del ordenador, pero puesto que los virus cambian constantemente, esta nueva versión actua de otro modo. De momento no es posible ofrecer una solución definitiva.
Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:
  • No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.
  • No contestes en ningún caso a estos correos.
  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos.
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.
Por otro lado, ten en cuenta SIEMPRE los consejos que facilitan todos los bancos en su sección de seguridad:
  1. Cierra todas las aplicaciones antes de acceder a la web del banco.
  2. Escribe directamente la url en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
  3. No accedas al servicio de banca online de tu banco desde ordenadores públicos, no confiables o que estén conectados a redes wifi públicas.
  4. MUY IMPORTANTE: ningún banco envía por correo electrónico solicitudes de datos personales de sus clientes. Si recibes un correo en este sentido, no facilites ningún dato y contacta inmediatamente con él.

Detalles

Se están recibiendo una gran cantidad de correos fraudulentos de tipo phishing que se hacen pasar por la compañía Correos para instalar un virus que cifrará los archivos de los usuarios que caigan en la trampa dejando inutilizado el ordenador afectado.

Los correos electrónicos cuyo asunto es "NombreX ApellidoX usted tiene una Carta certificada" tienen el siguiente aspecto:



Si se hace click en el enlace que propone el correo, llegamos a una URL tal que así:

http://correos24.net/login.php?id=76264463456

Y, si se cumple la máxima de que la IP sea Española (he probado con variantes de varios países) llegamos a una URL tal que así:

http://correos-online.org/5a99b6186605843b7fdbc19400439af4


Si el usuario accede al enlace en el correo, accederá a una página de aspecto similar a la legítima. Para dar más credibilidad al fraude, se invita al usuario a introducir un código:



Una vez introducido el código comenzará la descarga del virus:



El archivo ejecutable que contiene el virus, intenta hacer ver que se trata de un pdf, lleva por nombre "Carta certificada_XXXX" tiene el siguiente aspecto:



El virus se hace pasar por un aviso de correos, pulsas el enlace, y se descarga un zip llamado carta_certificada.zip, dentro hay un exe que no debe ser ejecutado.

En el caso de que el usuario afectado siga los pasos indicados en la web y descargue e instale el virus, el ordenador y los archivos quedarán inutilizados hasta que se pague el "supuesto" rescate.

Otras soluciones

Herramienta de Kaspersky para desencriptar
https://noransom.kaspersky.com/

DecryptoLocker.exe
https://www.decryptcryptolocker.com/Decryptolocker.exe


Fuentes:
https://www.osi.es/es/actualidad/avisos/2014/12/mantente-alerta-si-te-llega-un-aviso-de-correos
http://www.securitybydefault.com/2014/12/atencion-infecciones-masivas-de.html

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.