viernes, 8 de mayo de 2015

Crypt0L0cker: La nueva variante de Cryptolocker, una ruina para las empresas y clientes.







Muchos usuarios, clientes han sido los afectados por el primero y sus variantes de este y anteriores versiones y es por esto que voy a hablar un poco sobre él al ser un motivo constante el ver lo mismo semana si semana no. Cryptolocker no es mas que un malware que se encarga de cifrar todos los documentos a los que tiene acceso a tu ordenador esto incluye, recursos en red, servidores a los que tiene acceso e incluso tus backups o almacenamiento en la nube. Este se propaga a través de correo electrónico normalmente.

Pero antes de seguir si lees esto y no has sido afectado lo primero de todo es que tomes medidas antes de la catástrofe como indican en forospyware.



Consejos para evitar CryptoLocker
  • Extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos o con enlaces externos.
  • Desactivar la política de Windows que oculta las extensiones conocidas también ayudará a reconocer un ataque de este tipo.
  • Es muy importante tener un sistema de backup de nuestros ficheros críticos, lo que nos garantiza que no solo en caso de infección podamos mitigar el daño causado por el malware, sino que también nos cubrimos ante problemas del hardware.
  • Si no tenemos un backup y nos hemos infectado, no recomendamos el pago del rescate. Esta nunca debería ser la solución para recuperar nuestros ficheros, ya que convierte este malware en un modelo de negocio rentable, lo que impulsará el crecimiento y la expansión de este tipo de ataque.

En caso de ser afectado por Cryptolocker en alguna de sus variantes ponte en contacto con un profesional IT. Si es realmente un profesional sabrá y te dará soluciones porque en  versiones anteriores a Crypt0L0cker hay soluciones como podéis ver en estos enlaces que os dejo.

http://www.forospyware.com/t491413.html

http://www.forospyware.com/t479932.html

http://foro.elhacker.net/seguridad/restaurar_archivos_cifrados_por_cryptolocker_ransomware-t403519.0.html

http://support.kaspersky.com/viruses/disinfection/2911

https://www.decryptcryptolocker.com/

https://www.osi.es/gl/actualidad/avisos/2013/09/criptolocker-virus-que-cifra-los-ficheros-del-ordenador



Ahora vamos a ver la versión de la que tratamos Crypt0L0cker, esta variante se transmite a través de correo electrónico simulando un email de la empresa española correos. Esto puede variar claro está, tan solo tienen que cambiar el tipo de empresa o motivo e intentarán lo mismo.





Una vez descargas y se ejecutan haciendo clic en los enlaces falsos que pone, se comienza a iniciar el cifrado de todos los documentos, este cifrado afectará a todo lo alcanzable por el sistema es decir recursos de red, sincronizado en la nube, servidores dispositivos de almacenamiento y un largo etc. Una vez se ha iniciado el cifrado recibes un email de contacto por parte del delincuente para realizar el pago del rescate de los ficheros.






Hay que decir que como nos indican en hacker.net esta variante solo tiene 3 opciones aparentes hasta el momento.


Método 1: copias de seguridad

El primer y mejor método para restaurar los datos es una copia de seguridad reciente. Si no tienes backup ¿qué estas esperando para hacerlo?

Método 2: Software de recuperación de archivos

Parece que cuando CTB-Locker cifra un archivo, primero hace una copia del mismo, codifica la copia y luego elimina el original. Debido a este procedimiento se puede usar un software de recuperación de archivos como R-Studio o Photorec para intentar recuperar algunos de los archivos originales. Es importante tener en cuenta que cuanto más se utilice la computadora, más difícil será recuperar los archivos eliminados sin cifrar.

Método 3: Instantáneas de volumen de Windows (Shadow Volume Copies)

Como último recurso, puede tratar de restaurar los archivos a través de las instantáneas de volumen automática de Windows, siempre y cuando las mismas se encuentren activadas en el sistema operativo. Desafortunadamente, el malware intentará eliminar las instantáneas, pero a veces no logra hacerlo y esta copia puede utilizarse para restaurar los archivos.

Una última opción es pagar a los secuestradores cosa que he tenido que realizar lamentablemente en una ocasión en versiones anteriores de cryptolocker por motivos críticos pero que rotundamente desaconsejo y no recomiendo al no tener garantía ninguna ya que estás tratando con un delinqüente. 


Por último te recuerdo que te pongas en contacto con un profesional IT, si es realmente un profesional te dará el consejo adecuado, en estos tiempos que corren hay mucho aficionado. Recuerda, ten fé en los profesionales del sector aún los hay.