martes, 24 de marzo de 2015

INCIDENCIA 24/3/2014: Virus Cryptolocker secuestra datos

Esta mañana me he encontrado con uno de esos días "divertidos" de los departamentos de IT.

Alguien ha decidido que era un buen día lanzar un ataque masivo del virus Cryptolocker, como mínimo no lo ha hecho en lunes o en fin de semana, es todo un detalle. Este virus responde a la categoría de ransomware, que básicamente lo que hace es impedir de alguna manera que trabajes o tengas acceso a tu equipo y te fuerza a pagar un rescate para recuperarlo.

El ciclo de vida del virus es el siguiente: 


El usuario recibe un email de un dominio @supportpiece.com con el asunto "carta certificada no entregado a usted" y que tiene que ir a recogerla o pagar una multa de unos 7€ .

08/04/2015 EDITADO: Durante el dia de hoy hemos detectado una nueva oleada del virus enviado desde los dominios @sda-poste.net y @sda-courier.com .

El email parece que se ha colado a traves de la mayoría de los servicios de antispam.


Como es lo mas normal del mundo, la gente hace click en alguno de los links y descarga el virus en cuestión. 

Parece que el ejecutable tambien se les ha colado a la mayoria de antivirus. 

Una vez infectado el equipo, un proceso que cifrará con RSA de 2048bits todos los archivos de Office que encuentre en el equipo y en las unidades de red. 

Allá donde haya pasado el virus cifrando archivos dejará un documento .txt y un .html indicando que te han secuestrado los archivos y que para poder recuperarlos tienes que pagar 299€  a través de un enlace a la red TOR, facilitando las instrucciones para instalar un navegador TOR donde podremos conectarnos y poder pagar el rescate. 


Que hacer como Admin? 

  • Detectar y bloquear los posibles orígenes de los emails.
  • Informar a todo el personal de la empresa que no abran este correo. 
  • Estar a punto para cuando las empresas de antivirus saquen la firma de este nuevo virus y actualizar todos los equipos lo antes posible. 


Y para los equipos ya infectados?

Según parece no queda otra que esperar a la actualización del antivirus para detectar y eliminar el Cryptolocker. 
Para los archivos no he visto ninguna herramienta segura que permita descifrarlos, y las que he visto no tienen buena pinta, así que parece que habrá que tirar de copias de seguridad. 

Como se podría haber evitado?

Por lo que parece, el email se ha colado a través de los antispam y el antivirus ha permitido ejecutarlo, así que las herramientas habituales de prevención no han hecho bien su trabajo. 
Se me ocurren soluciones pero ninguna user-friendly: A parte de sustituir el email por palomas mensajeras o dar manoplas a los usuarios, una buena configuración de las directivas que solo permitiere ejecutar los archivos autorizados podría haber evitado esto.



ANEXO 1:

Solo por curiosidad añado una captura de la web a la que te redirigen para pagar el rescate:


ANEXO 2: 

08/04/2015 EDITADO: Durante el dia de hoy hemos detectado una nueva oleada del virus enviado desde los dominios @sda-poste.net y @sda-courier.com .

27/04/2015 EDITADO: Voy a añadir un listado con los dominios que he detectado que se usan para entregar este ransomware:
@supportpiece.com
@sda-poste.net
@sda-courier.com
@ppt-takip.com
@ppt-takip.net 
@sda-courier.biz 
@sda-courier.nfo 
@sdacourier.net 
@sdacourier.org 
@ptt-esube.com 
@ptt-gonderi.net 
@ptt-gonderi.biz  

1 comentario:

  1. La opción de dar "manoplas" a los usuarios la encuentro sobre todo muy terapéutica para los Admins... :p

    ResponderEliminar