{"id":4882,"date":"2015-05-04T17:12:57","date_gmt":"2015-05-04T16:12:57","guid":{"rendered":"http:\/\/ciberseguridad.pre.metafrase.es\/?p=341"},"modified":"2015-05-04T17:12:57","modified_gmt":"2015-05-04T16:12:57","slug":"falso-email-de-correos-propaga-cryptolocker","status":"publish","type":"post","link":"https:\/\/www.metafrase.com\/blog\/falso-email-de-correos-propaga-cryptolocker\/","title":{"rendered":"Falso Email de Correos propaga Cryptolocker"},"content":{"rendered":"<p style=\"text-align: justify\">All\u00e1 por diciembre de 2014 public\u00e1bamos en este mismo Blog, un <a href=\"http:\/\/ciberseguridad.pre.metafrase.es\/nuevo-cryptolocker-mediante-falso-aviso-de-correos\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo<\/a> sobre un ataque estaba cobrando importancia all\u00e1 por el mes de diciembre de 2014: Se trataba de un software malicioso (malware) del tipo <a href=\"http:\/\/es.wikipedia.org\/wiki\/CryptoLocker\" target=\"_blank\" rel=\"noopener\">Cryptolocker<\/a> \/ <a href=\"http:\/\/es.wikipedia.org\/wiki\/Ransomware\" target=\"_blank\" rel=\"noopener\">Ransomware<\/a> que llegaba al usuario mediante un email que pretende venir desde la empresa <a href=\"http:\/\/www.correos.es\" target=\"_blank\" rel=\"noopener\">Correos y Tel\u00e9grafos<\/a>, inform\u00e1ndonos de un env\u00edo al que debemos acceder.<\/p>\n<blockquote>\n<p style=\"text-align: justify\"><em>Desgraciadamente este ataque lejos de haberse extinguido o mitigado, sigue de plena actualidad y sigue creciendo en difusi\u00f3n y popularidad<\/em>: Podemos constatar que durante el mes de abril de 2015 y lo poco que llevamos de mayo, los delincuentes tras este ataque, seguramente, debido a su \u00e9xito (est\u00e1n ganando mucho dinero con \u00e9l) est\u00e1n realizando m\u00faltiples campa\u00f1as dirigidas a empresas, sectores y localidades concretas.<\/p>\n<figure id=\"attachment_305\" aria-describedby=\"caption-attachment-305\" style=\"width: 627px\" class=\"wp-caption aligncenter\"><img fetchpriority=\"high\" decoding=\"async\" class=\"size-full wp-image-305 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"Virus cifrado de archivos\" width=\"627\" height=\"554\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2014\/12\/RANSOMWARE-Correos.png\"><figcaption id=\"caption-attachment-305\" class=\"wp-caption-text\">Cryptolocker: Spam de Correos a trav\u00e9s del que se propaga<\/figcaption><\/figure><\/blockquote>\n<p style=\"text-align: justify\">Tras instalarse en el PC del usuario, este malware comenzaba a cifrar (o encriptar) los archivos del PC atacado, usando algoritmos de cifrado de alto nivel, usados en \u00e1mbito militar. Tras finalizar este cifrado de los datos, el atacante exije el pago de un rescate para recuperar los datos. Pago, que adem\u00e1s debe realizarse mediante Bitcoins o criptodivisas que no dejen rastro legal del dinero. Lo que se llama un <strong>secuestro de informaci\u00f3n<\/strong>.<\/p>\n<p style=\"text-align: justify\">Lejos quedan ya los virus que lo \u00fanico que hac\u00edan eran \u201c<em>travesuras<\/em>\u201d en nuestra m\u00e1quina: Hoy en d\u00eda esto es un negocio que mueve miles de millones en todo el planeta. Detr\u00e1s de ello est\u00e1n las mafias y por lo tanto existe una inversi\u00f3n de dinero para conseguir que no sean detectados por los Antivirus y poder llevar a cabo el secuestro de nuestros datos.<\/p>\n<div style=\"width: 100%;padding-top: 64%;position: relative;border-bottom: 1px solid #aaa\">\n<div style=\"position: absolute;bottom: 0;left: 0;font-family: arial,helvetica,sans-serif;font-size: 12px;line-height: 1.833;padding: 5px 0 5px 10px\"><span style=\"float: left;margin-right: 10px\"><img decoding=\"async\" style=\"height: 20px;width: auto;background: transparent;padding: 0;margin: 0\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"\" class=\"lazyload\" data-src=\"http:\/\/img.irtve.es\/css\/rtve.commons\/rtve.header.footer\/i\/logoRTVEes.png\"><\/span> <a style=\"color: #333;font-weight: bold\" title=\"Reuni\u00f3n en Madrid de hackers y expertos en ciberseguridad\" href=\"http:\/\/www.rtve.es\/alacarta\/videos\/telediario\/madrid-acoge-mayor-concentracion-hackers-expertos-ciberseguridad-espana\/3108980\/\" target=\"_blank\" rel=\"noopener\"><strong>Reuni\u00f3n en Madrid de hackers y expertos en ciberseguridad: Cryptolocker intensifica su ataque en 2015<\/strong><\/a><\/div>\n<\/div>\n<div><!--more--><\/div>\n<h2 style=\"text-align: justify\"><\/h2>\n<h2 style=\"text-align: justify\">\u00bfY c\u00f3mo es que los antivirus no detectan la amenaza si no es nueva?<\/h2>\n<p class=\"wp-image-305\" style=\"text-align: justify\">Esta es una pregunta con todo el sentido del mundo que nos hacen muchos partners y clientes: Si ya llevamos meses con el problema, \u00bfc\u00f3mo es posible que en lugar de haberse mitigado, el problema est\u00e9 en plena expansi\u00f3n? &#8211; La respuesta es que el problema no es tan sencillo de resolver como identificar \u00abal virus\u00bb y bloquearlo: El detalle que lo complica es que <strong>no hay un \u00fanico virus <em>Cryptolocker<\/em> sino que se conocen miles de variantes<\/strong> incluso algunos de ellos son <a href=\"http:\/\/es.wikipedia.org\/wiki\/Polimorfismo_%28virus_inform%C3%A1ticos%29\" target=\"_blank\" rel=\"noopener\">polim\u00f3rficos<\/a>, es decir: se cambian a s\u00ed mismos, se \u00abdisfrazan\u00bb- para evitar que los antivirus puedan reconocerlos y bloquearlos.<\/p>\n<blockquote>\n<p style=\"text-align: justify\">El <em>quid de la cuesti\u00f3n<\/em> est\u00e1 en que <strong>este tipo de ataques resulta muy rentable a los delincuentes que lo perpetran<\/strong>: Hay mucha gente pagando el rescate de sus datos. Esto, a su vez, provoca que estos delincuentes inviertan m\u00e1s dinero en perfeccionar su desarrollo para evitar ser bloqueados por los sistemas antivirus \/ antimalware. No s\u00f3lo en el malware sino en la difusi\u00f3n, que se realiza igual que las campa\u00f1as de marketing dirigidas: Sector por sector empresarial; Por zonas geogr\u00e1ficas, industrias, etc.<\/p>\n<\/blockquote>\n<p style=\"text-align: justify\">Seguramente estos delincuentes tienen acceso -ilegal, claro est\u00e1- a bases de datos de buzones de email de diferentes compa\u00f1\u00edas, sobre todo de Pymes, y realizan \u00abemailings\u00bb selectivos personalizando en extremo los correos electr\u00f3nicos que sirven de \u00abcebo\u00bb. Esto hace que parezcan correos leg\u00edtimos y originales, que sean muy dif\u00edciles de distinguir de correos fraudulentos y que mucha gente \u00abpique\u00bb en el enlace.<\/p>\n<h2 style=\"text-align: justify\"> \u00bfPodemos recuperar nuestros datos? \u00bfExisten ant\u00eddotos?<\/h2>\n<p style=\"text-align: justify\">La realidad es que <strong>no<\/strong>. Desgraciadamente el uso de algoritmos de cifrado fuerte y claves RSA hacen imposible recuperar los datos a no ser que se obtenga la clave privada que el ciberdelincuente haya usado para cifrar nuestros datos.<\/p>\n<p style=\"text-align: justify\"><strong>Si buscamos por Internet, veremos algunos reclamos para recuperar los datos, que no son m\u00e1s que otros virus Cryptolocker -o de otro tipo en ocasiones- <em>disfrazados<\/em> para que los descarguemos y ejecutemos.<\/strong> Hasta la fecha s\u00f3lo un grupo de hackers de las fuerzas de seguridad Holandesas ha logrado robar la clave privada usada por uno de estos ciberdelincuentes en un ataque muy concreto en Holanda. Todos los dem\u00e1s son malware.<\/p>\n<h2 style=\"text-align: justify\">He sido infectado: \u00bfY ahora qu\u00e9?<\/h2>\n<p style=\"text-align: justify\">Si hemos sido infectados desgraciadamente <span style=\"text-decoration: underline\">la \u00fanica forma de recuperar nuestros datos es desde una copia de seguridad<\/span> siempre que no sea accesible por el ordenador infectado en el momento de dicha infecci\u00f3n.<\/p>\n<ul>\n<li style=\"text-align: justify\">\n<h3>Si hacemos copia de seguridad en una unidad externa o USB <img decoding=\"async\" class=\"alignright size-medium wp-image-370 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"usb-hd\" width=\"300\" height=\"201\" data-src=\"https:\/\/www.metafrase.es\/wp-content\/uploads\/2015\/05\/usb-hd-300x201.jpg\"><\/h3>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;padding-left: 30px\">Si esta unidad est\u00e1 conectada en todo momento al equipo infectado y el sistema operativo tiene acceso a todos los archivos en el dispositivo, el Cryptolocker habr\u00e1 cifrado tambi\u00e9n los archivos en el USB, por lo que ser\u00e1 de poca utilidad. Sin embargo, si tenemos varios dispositivos USB que vamos rotando, podremos recuperarlos del dispositivo que no hubiera estado conectado en el momento de la infecci\u00f3n.<\/p>\n<p style=\"text-align: justify;padding-left: 30px\">Si utiliza dispositivos USB pero hace copia de seguridad con software de Backup que guarde los archivos \u00aboffline\u00bb y con versionado, como hacen en Windows <a href=\"http:\/\/www.cobiansoft.com\/\" target=\"_blank\" rel=\"noopener\">Cobian Backup<\/a>, <a href=\"https:\/\/www.synology.com\/en-global\/knowledgebase\/tutorials\/608\" target=\"_blank\" rel=\"noopener\">Time Backup<\/a> de Synology o Time Machine de Apple entonces sus datos a pesar de esto, estar\u00e1n a salvo dado que usan un formato que -al menos de momento- no es reconocido y cifrado por parte del ransomware.<\/p>\n<ul>\n<li style=\"text-align: justify\">\n<h3>Si hacemos una copia en servicios Cloud <img decoding=\"async\" class=\"alignright size-medium wp-image-367 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"dropbox\" width=\"300\" height=\"238\" data-src=\"https:\/\/www.metafrase.es\/wp-content\/uploads\/2015\/05\/dropbox-300x238.gif\"><\/h3>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;padding-left: 30px\">Si somos usuarios de servicios como Google Drive, Box, SugarSync o <a href=\"http:\/\/www.dropbox.com\" target=\"_blank\" rel=\"noopener\">Dropbox<\/a> no nos servir\u00e1n de mucho, ya que al cifrarse los datos del PC, los archivos se habr\u00e1n sustituido en la nube por la versi\u00f3n cifrada y los habremos perdido tambi\u00e9n.<\/p>\n<p style=\"text-align: justify;padding-left: 30px\">Existe una excepci\u00f3n: Si somos suscriptores del servicio de pago de <em><a href=\"https:\/\/www.dropbox.com\/pro\" target=\"_blank\" rel=\"noopener\">Dropbox Pro<\/a><\/em>, \u00e9ste guarda versiones anteriores de todos nuestros archivos durante 30 d\u00edas por lo que podremos \u00abvolver hacia atr\u00e1s en el tiempo\u00bb y recuperar los archivos.<\/p>\n<ul>\n<li style=\"text-align: justify\">\n<h3>Si hacemos copias en una unidad de red (NAS o Servidor) <img loading=\"lazy\" decoding=\"async\" class=\"alignright size-medium wp-image-373 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"synologyds214play\" width=\"300\" height=\"231\" data-src=\"https:\/\/www.metafrase.es\/wp-content\/uploads\/2015\/05\/synologyds214play-300x231.png\"><\/h3>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;padding-left: 30px\">Este tipo de malware, si tenemos una letra de unidad asignada al recurso de red, tambi\u00e9n habr\u00e1 cifrado los datos del servidor o la NAS, por lo que la \u00fanica forma de recuperar los datos ser\u00e1 tener alguna otra copia externa con versionado. Si seguimos las recomendaciones de tener copias de seguridad fuera de la empresa, y alternar estas copias con una periodicidad semanal, tambi\u00e9n podremos restaurar los datos de la semana anterior.<\/p>\n<h2 style=\"text-align: justify\"><\/h2>\n<h2 style=\"text-align: justify\">\u00bfY si pagamos el rescate?<\/h2>\n<p style=\"text-align: justify\">Muchas personas pueden verse en un situaci\u00f3n muy, muy complicada al perder la informaci\u00f3n de sus negocios. Por esta raz\u00f3n es comprensible que se pueda valorar el pago del rescate que nos piden. Esto es una decisi\u00f3n que cada uno debe tomar, en funci\u00f3n de los da\u00f1os recibidos y del valor de la informaci\u00f3n perdida y seg\u00fan la situaci\u00f3n concreta de cada cual. En cualquier caso hemos de advertir de que <span style=\"text-decoration: underline\">el pago del rescate conlleva varios riesgos<\/span>:<\/p>\n<ol>\n<li style=\"text-align: justify\"><span style=\"text-decoration: underline\">No hay garant\u00edas<\/span> de que realmente recuperemos nuestros datos tras pagar.<\/li>\n<li style=\"text-align: justify\"><span style=\"text-decoration: underline\">Contribuimos a que las mafias sigan invirtiendo en desarrollar este tipo de malware<\/span>, ya que se lo hacemos rentable, as\u00ed que hacemos probable que ocurra m\u00e1s veces en el futuro.<\/li>\n<li style=\"text-align: justify\"><span style=\"text-decoration: underline\">Es complicado<\/span>: El pago del rescate normalmente se lleva a cabo a partir de monederos de criptomoneda imposible de rastrear por parte de las fuerzas de seguridad. El acceso a estos monederos, transferencia de dinero, etc. no es tan sencilla como una transferencia bancaria. En ocasiones lleva varias semanas darse de alta en alguno de ellos y poder enviar el dinero.<\/li>\n<\/ol>\n<h2 style=\"text-align: justify\">\u00bfY de cara al futuro qu\u00e9 medidas podemos tomar?<\/h2>\n<p style=\"text-align: justify\">De acuerdo: ya conocemos el problema; \u00bfY ahora qu\u00e9? &#8211; Por el momento no existe una \u00fanica l\u00ednea de defensa. No obstante podemos adoptar varias medidas para evitar que secuestren nuestros datos, a saber:<\/p>\n<p style=\"text-align: justify\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-medium wp-image-377 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"backup-Tim-Reckmann\" width=\"300\" height=\"200\" sizes=\"(max-width: 300px) 100vw, 300px\" data-src=\"http:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2015\/05\/backup-Tim-Reckmann-300x200.jpg\" data-srcset=\"https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2015\/05\/backup-Tim-Reckmann-300x200.jpg 300w, https:\/\/www.metafrase.com\/blog\/wp-content\/uploads\/sites\/4\/2015\/05\/backup-Tim-Reckmann.jpg 640w\"><\/p>\n<ol>\n<li style=\"text-align: justify\">Realice Copias de Seguridad <span style=\"text-decoration: underline\">autom\u00e1ticas<\/span>, offline y <em>con versionado<\/em> de archivos<\/li>\n<li style=\"text-align: justify\">Evite las unidades de red permanentemente conectadas al PC si no son realmente necesarias<\/li>\n<li style=\"text-align: justify\">Mantenga actualizado su software de antivirus \/ antimalware<\/li>\n<li style=\"text-align: justify\">Est\u00e9 alerta sobre este tipo de correos y amenazas. Evite los enlaces que descargan o ejecutan programas.<\/li>\n<li style=\"text-align: justify\">Deshabilite la ejecuci\u00f3n autom\u00e1tica de programas descargados en su navegador web<\/li>\n<\/ol>\n<h2>\u00bfQu\u00e9 soluciones aporta Sophos en el futuro inmediato?<\/h2>\n<p style=\"text-align: justify\"><span style=\"text-decoration: underline\">Sophos ha desarrollado y va a liberar pr\u00f3ximamente durante este mes de mayo de 2015, la funcionalidad \u00abMalicious Traffic Detection\u00bb (MTD)<\/span> en su producto de protecci\u00f3n de Endpoint. Dicha funcionalidad se encarga de analizar conexiones de procesos a URLs, para evitar que intenten conectarse a webs maliciosas.<\/p>\n<p style=\"text-align: justify\"><img loading=\"lazy\" decoding=\"async\" class=\"alignright size-medium wp-image-374 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"networkprotection\" width=\"300\" height=\"133\" data-src=\"https:\/\/www.metafrase.es\/wp-content\/uploads\/2015\/05\/networkprotection-300x133.jpg\">Si puede, proteja su red mediante un Sophos UTM que proteja contra las APTs, o cuente con un potente IDS\/IPS que le proteja del tr\u00e1fico malicioso, evitar\u00e1 que las conexiones del Cryptolocker para conseguir la clave de cifrado tengan \u00e9xito, y recibir\u00e1 alertas de qu\u00e9 PCs de su red est\u00e1n intentando conectar con centros de control de malware, pudiendo de esta manera, mitigar el ataque y limpiar y desinfectar estas m\u00e1quinas, salvaguardando sus datos.<\/p>\n<p style=\"text-align: justify\"> <img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-378 lazyload\" src=\"data:image\/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==\" alt=\"5-reasons-switch-to-sophos-endpoint\" width=\"600\" height=\"297\" data-src=\"http:\/\/ciberseguridad.pre.metafrase.es\/wp-content\/uploads\/2015\/05\/5-reasons-switch-to-sophos-endpoint.png\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>All\u00e1 por diciembre de 2014 public\u00e1bamos en este mismo Blog, un art\u00edculo sobre un ataque estaba cobrando importancia all\u00e1 por el mes de diciembre de 2014: Se trataba de un software malicioso (malware) del tipo Cryptolocker \/ Ransomware que llegaba al usuario mediante un email que pretende venir desde la empresa Correos y Tel\u00e9grafos, inform\u00e1ndonos [&hellip;]<\/p>\n","protected":false},"author":12,"featured_media":382,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[2],"tags":[13,14,17],"class_list":["post-4882","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-antivirus","tag-cryptolocker","tag-malware"],"_links":{"self":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/4882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/users\/12"}],"replies":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/comments?post=4882"}],"version-history":[{"count":0,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/posts\/4882\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/media?parent=4882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/categories?post=4882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.metafrase.com\/blog\/wp-json\/wp\/v2\/tags?post=4882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}