Se ha detectado una nueva campaña en abril de 2016 de phishing que suplanta la identidad de la empresa Correos con una supuesto e-mail con el asunto de "carta certificada" con el objetivo de engañar a los usuarios mediante ingeniería social, para que hagan clic en un enlace que les redirige a una web maliciosa que suplanta la identidad de la compañía y tratar de provocar que los usuarios descarguen e instalen (ejecuten) un virus que cifra todos los archivos del ordenador.

 Qué hacer en caso de infección de Cryptolocker

Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.

Como curiosidad podemos ver que para la campaña de España siempre usan el captcha "22558" tal y como se puede ver en l imagen. El código captcha nunca cambia, no es generado automáticamente, es simplemente una imagen fija.




Asunto:

Carta certificada no entregado a usted

Texto ejemplo:

Su paquete ha llegado X de abril. Courier no pudo entregar una carta certificada a usted. Imprima la información de envío y mostrarla en la oficina de correos para recibir la carta certificada.

Si la carta certificada no se recibe dentro de los 30 días laborables Correos tendrá derecho a reclamar una indemnización a usted para él está manteniendo en la cantidad de XX euros por cada día de cumplir. Usted puede encontrar la información sobre el procedimiento y las condiciones de la carta de mantener en la oficina más cercana. Este es un mensaje generado automáticamente.

Privacidad
Correos le agradece su información, ideas y sugerencias, pero no podrá responder todos los comentarios individuales. Correos podrá utilizar cualquier información por usted enviada y actuar en consecuencia. Utilización de características interactivas en este sitio Para su conveniencia, Correos podrá ofrecer características interactivas en este sitio, tal como acceso a comentarios de rastreo y de usuario. Usted está autorizado a utilizar estas características solamente confines específicos y con ningún otro fin. Corrección de este sitio Esta página web puede contener errores que hayan pasado inadvertidos o errores tipográficos. Estos serán corregidos a discreción de Correos, a medida que se identifiquen. La información en esta página web se actualiza regularmente, pero los errores pueden permanecer u ocurrir a medida que se realizan cambios durante las actualizaciones. La información de Internet se mantiene en forma independiente en varios sitios en todo el mundo y parte de la información a la que se accede a través de ésta página web puede originarse fuera de Correos. Correos declina toda obligación o responsabilidad por este contenido. .

Tras esto todos los datos del disco duro en los que el usuario tenga permisos de escritura, quedan encriptados, incluidas unidades de red (mapeadas o no) o discos duros externos  conectados por USB (con letra asignada).

Esta nueva variante cifra los archivos con la extensión .encrypted

Ejemplos:

nombre_fichero.doc.encrypted
nombre_foto.jpg.encrypted

Y dentro de los directorios hay un fichero de texto .txt:

COMO_RESTAURAR_ARCHIVOS.txt

Con el siguiente contenido:

===============================================================================
               !!! NOS CIFRAR SUS ARCHIVOS CON Crypt0L0cker !!!
===============================================================================


Los archivos más importantes (incluidos los de los discos de red, USB, etc):
fotos, vídeos, documentos, etc. se cifran con nuestro virus Crypt0L0cker. La
única manera de restaurar los archivos es pagarnos. De lo contrario, se
perderán los archivos.

Utilice este enlace para pagar por la recuperación de los archivos:
http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XXX&user_pass=XXX


-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

[=] ¿Qué pasó con mis archivos?

  Sus archivos importantes: fotos, vídeos, documentos, etc. se cifran con
  nuestro virus Crypt0L0cker. Este virus utiliza muy fuerte algoritmo de
  cifrado - RSA-2048. Fracción del algoritmo de cifrado RSA-2048 es imposible
  sin la llave especial de descifrado.


[=] ¿Cómo puedo restaurar mis archivos?

  Sus archivos ahora son inservibles e ilegibles, puede comprobar que al tratar
  de abrirlos. La única manera de restaurarlos es utilizar nuestro software de
  descifrado. Usted puede comprar este software de descifrado en nuestro
  sitio web (http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XX&user_pass=XX).


[=] ¿Qué debo hacer ahora?

  Usted debe visitar nuestro sitio web (http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XX&user_pass=XX)
  y comprar descifrado para su PC.


[=] No puedo acceder a su sitio web. ¿Qué debo hacer?

  Nuestro sitio web debe ser accesible desde uno de estos enlaces:
  http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php?user_code=XX&user_pass=XX
http://3qbyaoohkcqkzrz6.onion.link/c01dmgs.php?user_code=XX&user_pass=XX
http://3qbyaoohkcqkzrz6.onion.to/c01dmgs.php?user_code=XXr&user_pass=XX
https://3qbyaoohkcqkzrz6.onion.cab/c01dmgs.php?user_code=XX&user_pass=XX

  http://3qbyaoohkcqkzrz6.onion/c01dmgs.php?user_code=XX&user_pass=XX (utilizando el navegador TOR)

  Si por alguna razón estas direcciones no están disponibles, por favor siga
  los pasos:
    1. Descargue e instale TOR-navegador:
       http://www.torproject.org/projects/torbrowser.html.en
    2. Después de una instalación exitosa, ejecutar el navegador y esperar a
       que la inicialización.
    3. Escriba en la barra de direcciones:
       http://3qbyaoohkcqkzrz6.onion/c01dmgs.php?user_code=XX&user_pass=XX
    4. El acceso a nuestro sitio web.

  También puede ponerse en contacto con nosotros a través de
  correo electrónico: restorefiles@mail333.com

-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

Credenciales de inicio de sesión:
  URL:       http://3qbyaoohkcqkzrz6.tormaster.ch/c01dmgs.php
  User-Code: XX
  User-Pass: XX

=============================================================================== 

Abril 2016:

http://birrificiotuderte.com/5Q0C6yxNV/0sI6NdTXOfq.php?id=correo@dominio.net
http://faam.com/xxxx

¿Qué es lo primero que debo hacer?

 Una vez has sido "infectado" (has ejecutado el .exe) y te has dado cuenta que te la han colado, lo primero que debes hacer es desconectar el cable de red (para aislar el ordenador de la red y que no siga encriptando o cifrando los documentos de toda la red) y desconectar los discos duros o pendrive si están conectados al ordenador.

Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.

• Desconecta inmediatamente el cable de red del ordenador. Desactiva la conexión Wifi (Wireless, apagando la conexión inalámbrica)

El segundo paso es con mscconfig o autoruns eliminar el "virus" para que no se vuelva a iniciar cuando reiniciemos Windows.

¿Cómo evitar o prevenir infección con CryptoLocker?

Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo


Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Antes: .pdf

Ahora mostrará: .pdf.exe

¿Cómo recuperar los archivos y ficheros secuestrados?

• Usando un backup (copia de seguridad física o en la nube, Google Drive, Dropbox, etc)
• Usando versiones anteriores
• Shadow copy (Volume Snapshot Service, Volume Shadow Copy Service, VSS)
• Usar herrmientas específicas. Ver en Otras soluciones 

Herramientas de Descifrado

• CoinVault and Bitcryptor Tool Web: https://noransom.kaspersky.com/ Descarga: https://noransom.kaspersky.com/static/CoinVaultDecryptor.zip 
• CryptoTorLocker2015 Decrypter Web:http://www.bleepingcomputer.com/forums/t/565020/new-cryptotorlocker2015-ransomware-discovered-and-easily-decrypted/ Descarga: http://ransomwareanalysis.com/CT2015_Decrypter.zip 
• DecryptGomasom Tool Web:http://www.bleepingcomputer.com/news/security/gomasom-crypt-ransomwaredecrypted/ Descarga: http://emsi.at/DecryptGomasom 
• DecryptInfinite ToolWeb:http://www.bleepingcomputer.com/news/security/cryptinfinite-or-decryptormaxransomware-decrypted/ Descarga: http://emsi.at/DecryptCryptInfinite 
• LeChiffre Decryptor Tool Web: http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-thelechiffre-ransomware/ Descarga: http://emsi.at/DecryptLeChiffre 
• Locker Unlocker Web: http://www.bleepingcomputer.com/virus-removal/locker-ransomware-information Descarga: https://easysyncbackup.com/Downloads/LockerUnlocker.exe 
• RakhniDecryptor Tool Web: https://support.kaspersky.com/sp/viruses/disinfection/10556 Descarga: media.kaspersky.com/utilities/VirusUtilities/RU/rakhnidecryptor.exe 
• Ramadant Ransomware Kit Tool Web: http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-therandamant-ransomware-kit/ Descarga: http://emsi.at/DecryptRadamant 
• RannohDecryptor Tool Web: https://support.kaspersky.com/mx/8547#block1 Descarga: media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe 
• RectorDecryptor Tool Web: https://support.kaspersky.com/viruses/disinfection/4264#block2 Descarga: media.kaspersky.com/utilities/VirusUtilities/EN/rectordecryptor.exe 
• TeslaCrypt Tool Web: http://www.talosintel.com/teslacrypt_tool/ Descarga: http://labs.snort.org/files/TeslaDecrypt_exe.zip
• TeslaDecoder Tool (hasta version 3 de Teslacrypt y Alphacrypt) Web: http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomwareinformation#decrypt Descarga: http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

Fuente:
CCN-CERT, - Medidas de Seguridad contra el Ransomware (Enero 2016)

¿Cómo saber con que variante he sido infectado y si se puede descifrar?

Puedes usar la página web ID Ransomware para detectar los diferentes tipos de ransomware existentes, cmo CryptoWall, TeslaCrypt, Locky, o Jigsaw:

• https://id-ransomware.malwarehunterteam.com/

Simplemente subiendo la nota de rescate y un fichero cifrado (.encrypted) la herramienta detectará la variante.

El servicio es completamente gratuito y fácil de usar, pues el usuario sólo debe subir la nota que genera el ransomware tras la infección, a veces en tres diferentes formatos (texto plano, HTML y BMP), y uno de los archivos cifrados como muestra, o bien, también puede hacerlo subiendo sólo uno de los dos archivos.

Soporta 52 variantes ransomware: 7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, Unknown, VaultCrypt

Recuperar datos secuestrados por algunos ransomware con kit de herramientas

Cada ransomware tiene su propia herramienta de recuperación, sin embargo Ransomware Removal Kit, un kit de herramientas que recopila las principales herramientas necesarias para hacer frente a a los ransomwares más comunes.

• Ransomware Removal Kit

Tipos de ransomware soportados:

• BitCryptor
• CoinVault
• CryptoDefense
• CryptoLocker
• FBIRansomWare
• Locker
• LosPollos
• OperationGlobal
• PCLock.
• TeslaCrypt
• TorrentLocker

La variante Teslacrypt ya tiene solución y herramietas de descifrado

Un investigador ESET descubrió que la operación del popular ransomware TeslaCrypt fue cerrada y ahora sus creadores están ofreciendo la clave (master key) de descifrado de forma gratuita para que cualquiera puede utilizarlas y desbloquear sus archivos. El investigador dijo que estableció contacto con los operadores de TeslaCrypt y estos admitieron que están cerrando las operaciones de TeslaCrypt y ofrecen las clave de descifrado a todos los usuarios.

Los delincuentes publicaron la master key de descifrado en el sitio de la Deep Web que usaban regularmente para pedir el rescate. La clave de descifrado funciona para ambas versiones de TeslaCrypt v3 y v4, que regularmente anexan una extensión .xxx, .ttt, micro o. mp3 al archivo cifrado.

ESET creó una aplicación para descifrar los archivos (descarga, instrucciones) y BloodyDolly actualizó su herramienta TeslaDecoder con la nueva master key (descarga, instrucciones).

•  ESET TeslaDecryptor
• TeslaDecoder

Nueva variante del virus CryptoLocker: Crypt0L0cker