Sábado 30 de Septiembre de 2023Actualizado 10:31
El 7 de diciembre de 2014
Tiempo de lectura: 03:26
|||

Cryptolocker

Juan Carlos Montejo

Viene la campaña de ventas de Navidad y ya tenemos al viejo conocido de CryptoLocker haciendo de las suyas. Pero, ¿qué es y qué hace este malware o 'malage', como diría un andaluz?

 

Fuente: thenewstalkers.com

Definición

Según la Wikipedia "CryptoLocker es un malware tipo troyano dirigido a computadoras con el sistema operativo Windows que se popularizó a finales de 2013.

El CryptoLocker se distribuye de varias formas, una de ellas como archivo adjunto de un correo electrónico. Una vez activado, el malware cifra ciertos tipos de archivos almacenados en discos locales y en unidades de red usando criptografía de clave pública RSA, guardándose la clave privada en los servidores del malware.

Realizado el cifrado, muestra un mensaje en pantalla, en el cual ofrece descifrar los archivos afectados, si se realiza un pago antes de una fecha límite (a través de Bitcoins o con vales pre-pagos), y menciona que la clave privada será destruida del servidor, y que será imposible recuperarla si la fecha límite expira.

Si esto ocurre, el malware ofrece la posibilidad de descifrar los datos a través de un servicio en línea provisto por los operadores del malware, con un precio en Bitcoin mucho más alto. A pesar que el malware es fácilmente eliminado, los archivos permanecen cifrados, cuya clave privada se considera casi imposible de descifrar."

 

Fuente: freedomwat.ch

Ya tenemos otro ejemplo de utilización dañina del cifrado fuerte.

Ataque

La fisonomía del ataque se aleja de los típicos correos mal escritos y que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado.

El dominio que están empleando (al menos en algunos de esos e-mails) es correos24.net 

Como se puede ver en el whois:

• Domain Name: CORREOS24.NET
• Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
• Whois Server: whois.reg.ru
• Referral URL: http://www.reg.ru
• Name Server: NS1.REG.RU
• Name Server: NS2.REG.RU
• Status: clientTransferProhibited
• Updated Date: 03-dec-2014
• Creation Date: 03-dec-2014
• Expiration Date: 03-dec-2015

Es un domino que se ha creado el 3 de Diciembre de 2014.

 

Fuente: www.bleepingcomputer.com

Otro de los puntos que convierte esta amenaza en algo muy serio es el hecho de que, tras los correos hay una campaña OSINT previa para dirigir el ataque de forma selectiva a personas a quienes les llegan los correos a su nombre y apellidos. 

Esto ayuda a dar credibilidad a dichos e-mails y en muchos casos la gente está descargando el Ransomware.
Los correos lucen tal que así:

 

Como se aprecia, van PERSONALIZADOS con nombres y apellidos de las personas a las que pertenecen los correos.

Prevención

Recomiendo instalar AntiRansom para prevenir este tipo de malware tan dañino y peligroso.

 

Fuente: www.securitybydefault.com

Recomiendo NO PAGAR y tratar de esperar, ya que en muchas ocasiones se encuentra remedio, no obstante, entiendo que, la criticidad de ciertos datos, pueda llevar a alguien a realizar el pago. Además este pago lo exigen en bitcoins, con lo que el asunto se complica seriamente (donde más fácil y mejor tasa se encuentra, es en el cajero de Bitcoins del Centro comercial de Madrid 'ABC Serrano' ).

Aquí insisto en hacer copias de seguridad DIARIAS de los archivos creados o modificados en la jornada.

Consejos para evitar CryptoLocker

Extremar las precauciones ante correos de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos o con enlaces externos.

Desactivar la opción de Windows que oculta las extensiones conocidas también ayudará a reconocer un ataque de este tipo.

 

Fuente: www.aulaclic.es

Es muy importante tener un sistema de copias de seguridad de nuestros ficheros críticos, lo que nos garantiza que no sólo en caso de infección podamos mitigar el daño causado por el malware, sino que también nos cubrimos antes problemas del hardware.

Si no tenemos una copia de seguridad y nos hemos infectado, no hay que pagar el rescate. Esta nunca debería ser la solución para recuperar nuestros ficheros, ya que convierte a CryptoLocker en un modelo de negocio rentable, lo que impulsará el crecimiento y la expansión de este tipo de ataque.

Para finalizar

Este mundo de la informática cada día tiene más riesgos de seguridad por lo que hay que protegerse de forma adecuada.

Siempre recomiendo la ‘tríada’ de elementos para esta protección:

• Programas específicos para los distintos riesgos de seguridad
• Buenas prácticas y consejos relacionados con cada recurso que se utilice (sistema en general, correo electrónico, navegación, descargas, redes sociales, etc.)
Sentido común

En un próximo artículo hablaré de una herramienta que permite una protección casi total de ciertos programas que utilicemos, entre ellos el navegador de internet, uno de los programas más utilizados y expuestos en nuestro trabajo diario.

 
|||
0 comentarios
Juan Carlos Montejo
Burgalés de nacimiento, mantiene la página www.seguridadeninternet.net y el blog asociado a ella. Licenciado en Informática por la Universidad de Deusto y máster universitario en Seguridad Informática por la UNIR, ha realizado colaboraciones en Rioja2 desde la Campus Party de Valencia y en la revista de seguridad informática HAKIN9 como corrector y beta tester. Autor de varios cursos de elearning para adrformacion.com, entre los que destacan Internet, Seguridad en internet, Windows XP, Firma electrónica, Diseño gráfico con software libre e Internet 2.0 Utilidades. También colabora en el directorio de Google dmoz.org en la sección Seguridad en internet. Trabaja en la Dirección General de TIC del Gobierno de La Rioja. Sus intereses versan sobre nuevas tecnologías, en particular internet y seguridad informática.
Premios A Crear 23Amigos de la Tierra Ribafrecha
ContactoAvenida de Portugal, 18
26002 Logroño
Tlf: 941 571303
Mail: redaccion@rioja2.com

Auditado por OJD