Blog Informático

0
0
0
s2smodern

Si recibes mail de CORREOS y/o WhatsApp mucho cuidado!....casi seguro que se tratará de un virus / troyano que encriptará todos los datos de tu ordenador y de la red a la que esté conectado.

Mails con adjunto o sin ficheros adjuntos, para los cuales, los antivirus, al realmente no tratarse de virus, si no de scripts complejos.

 

mail correos

 

CryptoLocker es un software malicioso del tipo llamado ramsomware afecta mayoritariamente a Windows, el sistema operativo más extendido, aunque ultimamente existen las primeras versiónes avanzadas para Android, y puede llegar al ordenador/móvil de varias formas: al entrar en una página que llama a descargar un archivo o al abrir archivos de correos enviados por empresas fantasma que llaman la atención del usuario de alguna forma.

 

Cuando el software malicioso se pone a trabajar en el ordenador, se conecta a los servidores de los ciberdelincuentes para generar un par de claves de encriptado RSA de 2048 bits. Envía la clave pública a la máquina infectada y comienza a cifrar documentos de cierta extensión de Microsoft Office, OpenDocument, fotografías y otros.

 

Cuando el usuario intenta acceder, se encuentra con el chantaje. O paga una cantidad (puede ir de 300 a 6.000 euros) mediante vales de prepago de la moneda virtual bitcoin o, en caso contrario, la clave para desencriptarlos será borrada en un periodo de tres a cuatro días.

 

 

¿Qué hacer ante esta situación? Numerosos expertos recomiendan no pagar por dos razones: para no validar la estrategia de chantaje de CryptoLocker y, quizás más importante, porque no existe ninguna garantía de que con el pago se obtenga la clave de desencriptado.

 

Como casi todo tiene soluciones, en julio pasado dos empresas de seguridad informática, FireEye y Fox-IT, lanzaron un sistema gratuito para que las víctimas de CryptoLocker puedan recuperar sus archivos cautivos.

  

El portal DecryptCryptoLocker permite obtener la clave con la que se ha encriptado un archivo. Esta página web sólo necesita analizar uno de los archivos de un ordenador infectado para obtener una clave de desencriptado que envía al usuario, aunque los autores de esta solución advierten de que, de momento, no funciona en todos los casos.

En el campo de la prevención, además del software de seguridad, que puede detectar la presencia de CryptoLocker antes de que esté activo, existen algunas medidas lógicas que puede tomar cualquier usuario.

En primer lugar, nunca abrir archivos de los que no se conozca realmente la procedencia. Hay que eliminar directamente correos que advierten que ha llegado una factura, que hay una fotografía interesante o cualquier otra cosa que pueda activar un software.

Si su equipo está infectado por un programa malicioso de la familia Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl илиTrojan-Ransom.Win32.CryptXXX, todos los archivos se van a encriptar de la siguiente manera:

whatsapp-virus

 

  • Si el equipo se infecta por Trojan-Ransom.Win32.Rannoh, los nombres y las extensiones se modificarán según la pauta:locked-<nombre_original>.<4 letras arbitrarias>.

 

  • Si el equipo se infecta por Trojan-Ransom.Win32.Cryakl, se agrega la etiqueta {CRYPTENDBLACKDC} al final del contenido del archivo.

 

  • Si el equipo se infecta por Trojan-Ransom.Win32.AutoIt, la extensión se modifica según la pauta<nombre_original>@<domonio_de_correo>_.<conjunto_de_caracteres>. 
    Por ejemplo, Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo._.RZWDTDIC.

 

  • Si el equipo se infecta por Trojan-Ransom.Win32.CryptXXX, la extensión se modifica según la pauta<nombre_original>.crypt. 

 

La herramienta RannohDecryptor está destinada para descifrar archivos después de la infección por Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl o Trojan-Ransom.Win32.CryptXXX.

Link a mas información y herramienta de desinfección: Mas información 

Si ha sido infectado y necesita soporte informático no dude en ponerse en contacto con nosotros...podemos ayudarle.

 

Utilizamos cookies propias y de terceros para prestar nuestros servicios. Al continuar navegando acepta nuestras condiciones generales.
Mas Informacion