Hay una nueva oleada del ransomware Cryptolocker con el gancho de un e-mail con el asunto "FACTURA" , de los que hemos recibido zips con factura2, factura4, factura6, factura7, factura9, factura10, ... que contienen un enlace a Dropbox en un zip, que dentro hay un fichero JavaScript con extensión .js que instala Cryptolocker de nueva generación, de los que cuando codifican dejan los ficheros cifrados con extensión final de 6 letras aleatorias.






También se han despertado otros virus que llegan en mails diversos, de los que informamos del texto para evitar que sean ejecutados los ficheros anexados a los mismos, sean ZIP, DOC, links, o lo que sean...

Veamos algunos ejemplos.

Asunto del Mensaje:

Información sobre la factura

Detalles del pago

Factura XXX

Cuerpo del Mensaje:

xxx@gmail.com

Hola XXXXXX,

Esta es tu factura: https://dl.dropboxusercontent.com/s/8xlx3jr3aalplmy/factura7.zip?dl=0

Saludos,
Diego Navarro

XXXXXXX

Detalles del pago: https://dl.dropboxusercontent.com/s/6fvxesbquavcbt8/factura10.zip?dl=0

Saludos cordiales,
Adrian Iglesias

Además de utilizar los archivos JavaScript, los ciberdelincuentes usan documentos de Office con macros maliciosas para difundir ransomware.

No hagas click en el botón de Habilitar contenido.....

Habilitar Contenido

Estos fichero tienen una macro, pequeño programa que puede realizar diferentes acciones de forma automática, si activamos la ejecución de esa macro haciendo clic en «Habilitar contenido» se activa un ransomware que cifrará  los ficheros del equipo afectado.

La habilitación de las macros de Excel produce que el dispositivo quede infectado por el ransomware, mostrándole al usuario el clásico mensaje de ransomware en el que se advierte del cifrado de los archivos más importantes y la necesidad de pagar para recuperar la información:

Se puede infectar rápidamente un ordenador a través de un archivo JavaScript.

¿Qué es una macro?

Una macro es un conjunto de comandos o instrucciones enviados al programa, que se ejecutan secuencialmente una tras otra. De hecho macro es la abreviatura de macroinstrucción.
Se usan para agrupar acciones repetitivas y rutinarias.

Sirven básicamente para automatizar las tareas realizadas con más frecuencia.

Los Programas de Microsoft Office siempre han sido uno de los blancos más vulnerables desde el primer virus de macro

• Habilitar o deshabilitar Macros en documentos de Office (Word, Excel, Access, Outlook, PowerPoint, Visio y Publisher)

Desactivar Macros en Office

La empresa finlandesa F-Secure ha dado consejos de cómo deshabilitar Windows Script Host para desactivar archivos JavaScript para que no puedan ser abiertos.

¿Cómo desactivar Windows Script Host?

Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.

Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) o VBScript (archivos .VBS y .VBE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.

Se puede editar el registro de Windows para desactivar WSH.

Inicio, ejecutar, Regedit

Aquí está la clave (carpeta).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".




Y después, si hace clic en un archivo .js, se verá esto:

El acceso Windows Script Host  está desactivado en esta máquina. Póngase en contacto con el administrador para obtener más detalles.

O ejecutar el script nombre.bat

REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0

Una aviso que es mucho mejor que ver a la nota de extorsión... o del pago de rescate por tus ficheros secuestrados.

 Qué hacer en caso de infección de Cryptolocker

Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.


Tras esto todos los datos del disco duro en los que el usuario tenga permisos de escritura, quedan encriptados, incluidas unidades de red (mapeadas o no) o discos duros externos  conectados por USB (con letra asignada).

Esta nueva variante cifra los archivos con la extensión .osiris

¿Qué es lo primero que debo hacer?

 Una vez has sido "infectado" (has ejecutado el .exe) y te has dado cuenta que te la han colado, lo primero que debes hacer es desconectar el cable de red (para aislar el ordenador de la red y que no siga encriptando o cifrando los documentos de toda la red) y desconectar los discos duros o pendrive si están conectados al ordenador.

Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.

• Desconecta inmediatamente el cable de red del ordenador. Desactiva la conexión Wifi (Wireless, apagando la conexión inalámbrica)

El segundo paso es con mscconfig o autoruns eliminar el "virus" para que no se vuelva a iniciar cuando reiniciemos Windows.

¿Cómo evitar o prevenir infección con CryptoLocker?

Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo


Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.

Desmarcar Ocultar las extensiones de archivo para tipos de archivo conocidos

Antes: .pdf

Ahora mostrará: .pdf.exe

¿Cómo recuperar los archivos y ficheros secuestrados?

• Usando un backup (copia de seguridad física o en la nube, Google Drive, Dropbox, etc)
• Usando versiones anteriores
• Shadow copy (Volume Snapshot Service, Volume Shadow Copy Service, VSS)
• Usar herrmientas específicas. Ver en Otras soluciones 

Herramientas de Descifrado

• CoinVault and Bitcryptor Tool Web: https://noransom.kaspersky.com/ Descarga: https://noransom.kaspersky.com/static/CoinVaultDecryptor.zip 
• CryptoTorLocker2015 Decrypter Web:http://www.bleepingcomputer.com/forums/t/565020/new-cryptotorlocker2015-ransomware-discovered-and-easily-decrypted/ Descarga: http://ransomwareanalysis.com/CT2015_Decrypter.zip 
• DecryptGomasom Tool Web:http://www.bleepingcomputer.com/news/security/gomasom-crypt-ransomwaredecrypted/ Descarga: http://emsi.at/DecryptGomasom 
• DecryptInfinite ToolWeb:http://www.bleepingcomputer.com/news/security/cryptinfinite-or-decryptormaxransomware-decrypted/ Descarga: http://emsi.at/DecryptCryptInfinite 
• LeChiffre Decryptor Tool Web: http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-thelechiffre-ransomware/ Descarga: http://emsi.at/DecryptLeChiffre 
• Locker Unlocker Web: http://www.bleepingcomputer.com/virus-removal/locker-ransomware-information Descarga: https://easysyncbackup.com/Downloads/LockerUnlocker.exe 
• RakhniDecryptor Tool Web: https://support.kaspersky.com/sp/viruses/disinfection/10556 Descarga: media.kaspersky.com/utilities/VirusUtilities/RU/rakhnidecryptor.exe 
• Ramadant Ransomware Kit Tool Web: http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-therandamant-ransomware-kit/ Descarga: http://emsi.at/DecryptRadamant 
• RannohDecryptor Tool Web: https://support.kaspersky.com/mx/8547#block1 Descarga: media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe 
• RectorDecryptor Tool Web: https://support.kaspersky.com/viruses/disinfection/4264#block2 Descarga: media.kaspersky.com/utilities/VirusUtilities/EN/rectordecryptor.exe 
• TeslaCrypt Tool Web: http://www.talosintel.com/teslacrypt_tool/ Descarga: http://labs.snort.org/files/TeslaDecrypt_exe.zip
• TeslaDecoder Tool (hasta version 3 de Teslacrypt y Alphacrypt) Web: http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomwareinformation#decrypt Descarga: http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip

Fuente:
CCN-CERT, - Medidas de Seguridad contra el Ransomware (Enero 2016)

¿Cómo saber con que variante he sido infectado y si se puede descifrar?

Puedes usar la página web ID Ransomware para detectar los diferentes tipos de ransomware existentes, como CryptoWall, TeslaCrypt, Locky, o Jigsaw:

• https://id-ransomware.malwarehunterteam.com/

Simplemente subiendo la nota de rescate y un fichero cifrado (.encrypted) la herramienta detectará la variante.

El servicio es completamente gratuito y fácil de usar, pues el usuario sólo debe subir la nota que genera el ransomware tras la infección, a veces en tres diferentes formatos (texto plano, HTML y BMP), y uno de los archivos cifrados como muestra, o bien, también puede hacerlo subiendo sólo uno de los dos archivos.

Soporta 52 variantes ransomware: 7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, Unknown, VaultCrypt

Recuperar datos secuestrados por algunos ransomware con kit de herramientas

Cada ransomware tiene su propia herramienta de recuperación, sin embargo Ransomware Removal Kit, un kit de herramientas que recopila las principales herramientas necesarias para hacer frente a a los ransomwares más comunes.

• Ransomware Removal Kit

Tipos de ransomware soportados:

• BitCryptor
• CoinVault
• CryptoDefense
• CryptoLocker
• FBIRansomWare
• Locker
• LosPollos
• OperationGlobal
• PCLock.
• TeslaCrypt
• TorrentLocker

Fuentes:
https://blog.elhacker.net/2016/04/microsoft-alerta-de-e-mails-con-adjuntos-maliciosos-en-javascript-y-macros-word-office.html
https://blog.elhacker.net/2015/04/nueva-variante-del-virus-cryptolocker-ransomware-secuestro-crypt0l0cker.html
https://blog.elhacker.net/2016/04/nueva-oleada-del-virus-crypt0l0cker-con-aviso-de-correos-de-carta-certificada.html
https://blog.elhacker.net/2016/04/como-evitar-prevenir-que-un-ransomware-cifre-secuestre-los-ficheros-archivos-en-servidor-windows.html