Cryptolocker · Infección masiva con email de «Correos»

Cryptolocker · Infección masiva con email de «Correos»

Durante los últimos días (y meses) hemos recibido multitud de solicitudes, por parte de empresas y particulares, debido a la infección Cryptolocker,  un tipo de virus/malware ransom (basa su «modelo de negocio» en la extorsión al usuario).

¿Cómo nos llega?
Lo hace a través de correo electrónico, se supone que lo remite «Correos» con un asunto parecido a «Carta certificada no entregado a usted».

Lo que vemos al abrir el correo es esto:

Esta amenza en concreto, mezcla varios tipos de métodos de ataque:

Phising >> La amenza suplanta la identidad de correos.

Ingeniería Social >>  Nos indica que ha llegado un paquete / certificado, el usuario da por hecho que hay algo esperandole en la oficina de correos más cercana…

¿Cómo consigue infectar mi equipo?
Descargando el supuesto comunicado que nos han enviado al correo.  Esto no quiere decir que abriendo el correo descargue el archivo malicioso, sólo nos infectarémos si seguimos los pasos que nos indica al pie de la letra (Abro el correo > Leo el correo > Pincho el enlace del correo > Introduzco el código de verificación > Descargo el archivo > Ejecuto el archivo > BooM!).

¿Qué hace Cryptolocker?
Una vez descargado y ejecutado el archivo, encripta todos aquellos archivos que encuentre, tanto en tu equipo (unidades de disco duro, memorias usb / discos usb, etc) como en la red a la que estes conectado y tenga acceso de escritura (esto quiere decir que si en tu casa, oficina, empresa, trabajas con carpetas compartidas de red, el virus/malware cifrará los archivos)

Archivos que cifra Cryptolocker:
.odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .3fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.

Resumiendo, archivos Office (Word, Excel, Outlook (pst),PowerPoint, Access), archivos de imágen, archivos de autocad, certificados digitales, ….. es decir, archivos importantes y sensibles que los atacantes saben pueden obtener beneficio (recuerda que es un ataque de tipo ransom, restricción de acceso a tus archivos).

En cada carpeta con archivos encriptados, coloca dos ficheros, uno de texto y un html con instrucciones para desencriptar los archivos (normalmente nos «solicitan» una cantidad económica para enviarnos la clave de desencriptado)

 ¿Cómo evito su ataque?
Para este caso en concreto, no hay ataque directo, es el engaño el que prima en todo momento. Como usuarios que somos, siempre que veamos este tipo de correos, enlaces, etc, lo mejor es eliminarlos / obviarlos (si os llegan adjuntos con archivos ejecutables, correos mal redactados, falta de ortografía, etc)

Es fundamental tener en nuestros equipos un antivirus instalado y actualizado (tb. tener instaladas las actualizaciones del sistema operativo) para que en los casos que se llegue hasta el final, sea este el que pare la ejecución del programa malicioso.

Vale, he seguido los pasos y estoy infectado ¿qué hago ahora?
Lo primero, desconecta tu equipo de internet / acceso a la red local, esto evitará que el malware encripte archivos en otros equipos.

Acto seguido, si no tienes antivirus en el equipo, instala uno (recomendamos Kaspersky), haz una escaneo lo más exhaustivo posible (tarde lo que tarde) para eliminar la infección (recuerda no conectar el equipo a la red, bájate el antivirus en otro equipo y con una memoria usb lo instalas).

Eliminado el virus, toca recuperar la información encriptada, para ello utiliza el backup / copia de seguridad, no hay manera de desencriptar los archivos infectados.

¿Copia de Seguridad? No sé si tengo….
Si este es tu caso, intenta contactar con algún servicio técnico informático, empresa informática, puede que a través de la protección del sistema (Windows 7 y 8) recuperen archivos a versiones anteriores.

Tb. podemos intentar restaurar nuestros archivos a través de la restauración del sistema, siempre que tengamos activos los puntos de restauración. (con la herramienta Shadow Explorer, podemos ver los diferentes puntos de restauración del sistema y recuperar los archivos).

Nada de lo anterior ha funcionado, sigo con los archivos encriptados y sin posibilidad de recuperarlos (no hay copias de seguridad ni puntos de restauración)
Lamentablemente a día de hoy (20/03/2015), no hay solución para desencriptar tu archivos. Entendemos que puedes estar en una situación complicada, pensando pagar a los estafadores para conseguir desencriptar la información.

Recomendamos no pagar, desconocemos si algún afectado ha pagado y le han enviado la clave de desencriptado recuperado así el acceso a su información (creémos que no)

————————————————————————————————-

Actualización Abril 2015:

Existe una web, https://www.decryptcryptolocker.com/, en la cual podemos enviar un archivo encriptado (recomendamos enviar uno poco importante) por Cryptolocker, lo analizarán y si consiguen obtener la clave de desencriptado, te la enviarán al correo electrónico con las instrucciones para recuperar tus archivos.

Lectura Recomendada:

Configurar Copias de Seguridad de Windows

Activar la protección del sistema