Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Nueva campaña Ransomware CryptoLocker con extensión .Osiris




Hay una nueva oleada del ransomware Cryptolocker con el gancho de un e-mail con el asunto "FACTURA" , de los que hemos recibido zips con factura2, factura4, factura6, factura7, factura9, factura10, ... que contienen un enlace a Dropbox en un zip, que dentro hay un fichero JavaScript con extensión .js que instala Cryptolocker de nueva generación, de los que cuando codifican dejan los ficheros cifrados con extensión final de 6 letras aleatorias.






Tambien se han despertado otros virus que llegan en mails diversos, de los que informamos del texto para evitar que sean ejecutados los ficheros anexados a los mismos, sean ZIP, DOC, links, o lo que sean...

Veamos algunos ejemplos.

Asunto del Mensaje:

Información sobre la factura
Detalles del pago
Factura XXX
Cuerpo del Mensaje:

xxx@gmail.com

Hola XXXXXX,

Esta es tu factura: https://dl.dropboxusercontent.com/s/8xlx3jr3aalplmy/factura7.zip?dl=0

Saludos,
Diego Navarro

XXXXXXX

Detalles del pago: https://dl.dropboxusercontent.com/s/6fvxesbquavcbt8/factura10.zip?dl=0

Saludos cordiales,
Adrian Iglesias


Además de utilizar los archivos JavaScript, los ciberdelincuentes usan documentos de Office con macros maliciosas para difundir ransomware.


No hagas click en el botón de Hablitar contenido.....




Habilitar Cotenido

Estos fichero tienen una macro, pequeño programa que puede realizar diferentes acciones de forma automática, si activamos la ejecución de esa macro haciendo clic en «Habilitar contenido» se activa un ransomware que cifrará  los ficheros del equipo afectado.

La habilitación de las macros de Excel produce que el dispositivo quede infectado por el ransomware, mostrándole al usuario el clásico mensaje de ransomware en el que se advierte del cifrado de los archivos más importantes y la necesidad de pagar para recuperar la información:

Se puede infectar rápidamente un ordenador a través de un archivo JavaScript.

¿Qué es una macro?

Una macro es un conjunto de comandos o instrucciones enviados al programa, que se ejecutan secuencialmente una tras otra. De hecho macro es la abreviatura de macroinstrucción.
Se usan para agrupar acciones repetitivas y rutinarias.

Sirven básicamente para automatizar las tareas realizadas con más frecuencia.

Los Programas de Microsoft Office siempre han sido uno de los blancos más vulnerables desde el primer virus de macro

Habilitar o deshabilitar Macros en documentos de Office (Word, Excel, Access, Outlook, PowerPoint, Visio y Publisher)




Desactivar Macros en Office




Si su entorno requiere VBA entonces no permitas que las macros de fuentes no confiables se puedan ejecutar.

 En lugar de habilitar la característica directamente como le sugiere el documento malicioso, examinar el código del documento primero a través de la ficha Programador (Developer)

 La ficha Programador se puede activar a través de Archivo> Opciones. En el cuadro de diálogo Opciones de Word seleccione Personalizar cinta de opciones de la izquierda y poner una marca al lado de desarrollador.




En Word 2007, la opción para activar la ficha Programador se puede encontrar bajo Popular en el cuadro de diálogo Opciones de Word. En pocas palabras una marca de verificación junto a Mostrar ficha Programador en la cinta de opciones. Haga clic en la ficha Programador y seleccione Visual Basic en la barra de herramientas. Con ello se abre la interfaz de programador de VBA y revelar el código de la macro.



Presionar MAYÚS al abrir un archivo


Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.


La empresa finlandesa F-Secure ha dado consejos de cómo deshabilitar Windows Script Host para desactivar archivos JavaScript para que no puedan ser abiertos.


¿Cómo desactivar Windows Script Host?

Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.

Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) o VBScript (archivos .VBS y .VBE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.

Se puede editar el registro de Windows para desactivar WSH.

Inicio, ejecutar, Regedit

Aquí está la clave (carpeta).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings


Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".




Y después, si hace clic en un archivo .js, se verá esto:



El acceso Windows Script Host  está desactivado en esta máquina. Póngase en contacto con el administrador para obtener más detalles.

O ejecutar el script nombre.bat

REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0

Una aviso que es mucho mejor que ver a la nota de extorsión... o del pago de rescate por tus ficheros secuestrados.

 Qué hacer en caso de infección de Cryptolocker


Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.


Tras esto todos los datos del disco duro en los que el usuario tenga permisos de escritura, quedan encriptados, incluidas unidades de red (mapeadas o no) o discos duros externos  conectados por USB (con letra asignada).

Esta nueva variante cifra los archivos con la extensión .osiris


¿Qué es lo primero que debo hacer?

 Una vez has sido "infectado" (has ejecutado el .exe) y te has dado cuenta que te la han colado, lo primero que debes hacer es desconectar el cable de red (para aislar el ordenador de la red y que no siga encriptando o cifrando los documentos de toda la red) y desconectar los discos duros o pendrive si están conectados al ordenador.

Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.

  • Desconecta inmediatamente el cable de red del ordenador. Desactiva la conexión Wifi (Wireless, apagando la conexión inalámbrica)

El segundo paso es con mscconfig o autoruns eliminar el "virus" para que no se vuelva a iniciar cuando reiniciemos Windows.


¿Cómo evitar o prevenir infección con CryptoLocker?


Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo


Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

  1. Para abrir Opciones de carpeta, haga clic en el botón InicioImagen del botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
  2. Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
    • Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Antes: .pdf

Ahora mostrará: .pdf.exe


¿Cómo recuperar los archivos y ficheros secuestrados?

  • Usando un backup (copia de seguridad física o en la nube, Google Drive, Dropbox, etc)
  • Usando versiones anteriores
  • Shadow copy (Volume Snapshot Service, Volume Shadow Copy Service, VSS)
  • Usar herrmientas específicas. Ver en Otras soluciones 

Herramientas de Descifrado

Fuente:
CCN-CERT, - Medidas de Seguridad contra el Ransomware (Enero 2016)

¿Cómo saber con que variante he sido infectado y si se puede descifrar?



Puedes usar la página web ID Ransomware para detectar los diferentes tipos de ransomware existentes, cmo CryptoWall, TeslaCrypt, Locky, o Jigsaw:

Simplemente subiendo la nota de rescate y un fichero cifrado (.encrypted) la herramienta detectará la variante.

El servicio es completamente gratuito y fácil de usar, pues el usuario sólo debe subir la nota que genera el ransomware tras la infección, a veces en tres diferentes formatos (texto plano, HTML y BMP), y uno de los archivos cifrados como muestra, o bien, también puede hacerlo subiendo sólo uno de los dos archivos.

Soporta 52 variantes ransomware: 7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, Unknown, VaultCrypt

Recuperar datos secuestrados por algunos ransomware con kit de herramientas


Cada ransomware tiene su propia herramienta de recuperación, sin embargo Ransomware Removal Kit, un kit de herramientas que recopila las principales herramientas necesarias para hacer frente a a los ransomwares más comunes.

Tipos de ransomware soportados:
  • BitCryptor
  • CoinVault
  • CryptoDefense
  • CryptoLocker
  • FBIRansomWare
  • Locker
  • LosPollos
  • OperationGlobal
  • PCLock.
  • TeslaCrypt
  • TorrentLocker
Fuentes:
http://blog.elhacker.net/2016/04/microsoft-alerta-de-e-mails-con-adjuntos-maliciosos-en-javascript-y-macros-word-office.html
http://blog.elhacker.net/2015/04/nueva-variante-del-virus-cryptolocker-ransomware-secuestro-crypt0l0cker.html
http://blog.elhacker.net/2016/04/nueva-oleada-del-virus-crypt0l0cker-con-aviso-de-correos-de-carta-certificada.html
http://blog.elhacker.net/2016/04/como-evitar-prevenir-que-un-ransomware-cifre-secuestre-los-ficheros-archivos-en-servidor-windows.html

2 comentarios :

Carlos Luis dijo...

Muy buen post,siempre se agradece que se compartan sus conocimientos,saludos.

Jenny White dijo...
Este comentario ha sido eliminado por el autor.

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.