Ransomware es un tipo de software malicioso secuestrador de información, sesión o navegador del usuario. Los mantiene bloqueados o cifrados hasta que la víctima paga para recuperar la información y/o el control del sistema [1].
El software malicioso CTB-Locker cifra los archivos de la víctima para pedir un rescate por ellos. Recientemente, UNAM-CERT ha observado que los ataques inician con correos electrónicos phishing que contienen un archivo ZIP malicioso adjunto, que a su vez contiene otro archivo comprimido con el mismo nombre y éste último aloja un binario con extensión SCR que es el downloader. Una vez que se ejecuta, abre un documento en Microsoft Word (incluido en el software malicioso) y se descarga el ransomware identificado como "CTB-Locker", "FileCoder" o "Critroni", que cifra archivos en el equipo comprometido y solicita el pago del rescate en bitcoins.
De acuerdo la firma de seguridad ESET, México es el país de Latinoamérica más afectado por este tipo de amenaza [2]. A continuación se muestran algunos indicadores encontrados en la campaña observada por UNAM-CERT [3]:
Características del correo electrónico Phishing:
Características a nivel de sistema:
Un sistema infectado con alguna variante del software malicioso CTB-Locker puede generar consecuencias negativas como:
Una vez que CTB-Locker infecta el equipo, inicia el cifrado de archivos y aparece un mensaje solicitando el rescate, por lo que en un sistema infectado se pueden tomar las siguientes medidas:
El cifrado de archivos por este tipo de amenazas hace prácticamente imposible recuperarlos, por lo que se recomienda a los usuarios y organizaciones tener en cuenta las siguientes medidas preventivas de seguridad:
Es importante tomar en cuenta que el pago del rescate no garantiza recuperar los archivos.
UNAM-CERT gestiona reportes de phishing y sitios web que alojan páginas falsas o software malicioso para buscar evitar que más usuarios se conviertan en víctimas.
[1] Crypto Ransomware
[2] CTB-Locker en Latinoamérica: ¿cuál es el país más afectado?
[3] Ransomware CTB-Locker, propagación masiva
[4] Reporte del análisis en VirusTotal. Recuperado el 9 de febrero de 2015
[5] Copias de seguridad y recuperación personal
[6] Qué hacer y qué no hacer con el correo electrónico
[7] Siete pasos para tener una computadora segura
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT