Nueva campaña Ransomware Locky - Osiris
Hay una nueva oleada del ranwomare Cryptolocker con el gancho de un e-mail con el asunto "FACTURA" , de los que hemos recibido zips con factura2, factura4, factura6, factura7, factura9, factura10, ... que contienen un enlace a Dropbox en un zip, que dentro hay un fichero JavaScript con extensión .js que instala Cryptolocker de nueva generación, de los que cuando codifican dejan los ficheros cifrados con extensión final de 6 letras aleatorias.
Tambien se han despertado otros virus que llegan en mails diversos, de los que informamos del texto para evitar que sean ejecutados los ficheros anexados a los mismos, sean ZIP, DOC, links, o lo que sean...
Veamos algunos ejemplos.
Asunto del Mensaje:
Además de utilizar los archivos JavaScript, los ciberdelincuentes usan documentos de Office con macros maliciosas para difundir ransomware.
Se puede infectar rápidamente un ordenador a través de un archivo JavaScript.
Se usan para agrupar acciones repetitivas y rutinarias.
Sirven básicamente para automatizar las tareas realizadas con más frecuencia.
Los Programas de Microsoft Office siempre han sido uno de los blancos más vulnerables desde el primer virus de macro
Habilitar o deshabilitar Macros en documentos de Office (Word, Excel, Access, Outlook, PowerPoint, Visio y Publisher)
Si su entorno requiere VBA entonces no permitas que las macros de fuentes no confiables se puedan ejecutar.
En lugar de habilitar la característica directamente como le sugiere el documento malicioso, examinar el código del documento primero a través de la ficha Programador (Developer)
La ficha Programador se puede activar a través de Archivo> Opciones. En el cuadro de diálogo Opciones de Word seleccione Personalizar cinta de opciones de la izquierda y poner una marca al lado de desarrollador.
En Word 2007, la opción para activar la ficha Programador se puede encontrar bajo Popular en el cuadro de diálogo Opciones de Word. En pocas palabras una marca de verificación junto a Mostrar ficha Programador en la cinta de opciones. Haga clic en la ficha Programador y seleccione Visual Basic en la barra de herramientas. Con ello se abre la interfaz de programador de VBA y revelar el código de la macro.
Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.
La empresa finlandesa F-Secure ha dado consejos de cómo deshabilitar Windows Script Host para desactivar archivos JavaScript para que no puedan ser abiertos.
Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) o VBScript (archivos .VBS y .VBE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.
Se puede editar el registro de Windows para desactivar WSH.
Inicio, ejecutar, Regedit
Aquí está la clave (carpeta).
Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".
Y después, si hace clic en un archivo .js, se verá esto:
O ejecutar el script nombre.bat
Tambien se han despertado otros virus que llegan en mails diversos, de los que informamos del texto para evitar que sean ejecutados los ficheros anexados a los mismos, sean ZIP, DOC, links, o lo que sean...
Veamos algunos ejemplos.
Asunto del Mensaje:
Información sobre la factura
Detalles del pagoCuerpo del Mensaje:
Hola Secretaria,
Esta es tu factura: https://dl.dropboxusercontent.com/s/8xlx3jr3aalplmy/factura7 .zip?dl=0
Saludos,
Diego Navarro
Secretaria
Detalles del pago: https://dl.dropboxusercontent.com/s/6fvxesbquavcbt8/ factura10.zip?dl=0
Saludos cordiales,
Adrian Iglesias
Además de utilizar los archivos JavaScript, los ciberdelincuentes usan documentos de Office con macros maliciosas para difundir ransomware.
Se puede infectar rápidamente un ordenador a través de un archivo JavaScript.
¿Qué es una macro?
Una macro es un conjunto de comandos o instrucciones enviados al programa, que se ejecutan secuencialmente una tras otra. De hecho macro es la abreviatura de macroinstrucción.Se usan para agrupar acciones repetitivas y rutinarias.
Sirven básicamente para automatizar las tareas realizadas con más frecuencia.
Los Programas de Microsoft Office siempre han sido uno de los blancos más vulnerables desde el primer virus de macro
Habilitar o deshabilitar Macros en documentos de Office (Word, Excel, Access, Outlook, PowerPoint, Visio y Publisher)
Desactivar Macros en Office
Si su entorno requiere VBA entonces no permitas que las macros de fuentes no confiables se puedan ejecutar.
En lugar de habilitar la característica directamente como le sugiere el documento malicioso, examinar el código del documento primero a través de la ficha Programador (Developer)
La ficha Programador se puede activar a través de Archivo> Opciones. En el cuadro de diálogo Opciones de Word seleccione Personalizar cinta de opciones de la izquierda y poner una marca al lado de desarrollador.
En Word 2007, la opción para activar la ficha Programador se puede encontrar bajo Popular en el cuadro de diálogo Opciones de Word. En pocas palabras una marca de verificación junto a Mostrar ficha Programador en la cinta de opciones. Haga clic en la ficha Programador y seleccione Visual Basic en la barra de herramientas. Con ello se abre la interfaz de programador de VBA y revelar el código de la macro.
Presionar MAYÚS al abrir un archivo
Si no desea infectarse con un virus de macro, mantenga presionada la tecla MAYÚS cuando abra un archivo que podría estar infectado con un virus de macro. Si presiona MAYÚS evitará que se ejecuten las macros automáticas; si hay algún virus de macro presente, no se cargará.
La empresa finlandesa F-Secure ha dado consejos de cómo deshabilitar Windows Script Host para desactivar archivos JavaScript para que no puedan ser abiertos.
¿Cómo desactivar Windows Script Host?
Microsoft Windows Script Host (WSH) es una tecnología de automatización para los sistemas operativos Microsoft Windows hizo Proporciona capacidades de scripting comparable a batchfiles, pero con un soporte de funciones ampliado. Originalmente fue llamado Windows Scripting Host, pero cambió de nombre en la segunda versión.Numerosas campañas de spam están usando varias familias ransomware a través de archivos adjuntos .zip. Y los archivos .zip contienen Normalmente, un JScript (.js / .JSE) o VBScript (archivos .VBS y .VBE) Un archivo que, si se hace clic, se ejecutará a través de Windows Script Host.
Se puede editar el registro de Windows para desactivar WSH.
Inicio, ejecutar, Regedit
Aquí está la clave (carpeta).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Crear un nuevo valor DWORD denominado "Enabled" y establezca los datos de valor a "0".
Y después, si hace clic en un archivo .js, se verá esto:
El acceso Windows Script Host está desactivado en esta máquina. Póngase en contacto con el administrador para obtener más detalles.
O ejecutar el script nombre.bat
REG ADD "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_SZ /d 0
Una aviso que es mucho mejor que ver a la nota de extorsión... o del pago de rescate por tus ficheros secuestrados.
Qué hacer en caso de infección de Cryptolocker
Si ves la pantalla de Cryptolocker, desconecta el equipo de la red para que el virus no pueda cifrar más archivos. Desconectar la conexión a Internet también evita que tus archivos en Dropbox o Google Drive se sobrescriban con las copias infectadas.
Tras esto todos los datos del disco duro en los que el usuario tenga permisos de escritura, quedan encriptados, incluidas unidades de red (mapeadas o no) o discos duros externos conectados por USB (con letra asignada).
Esta nueva variante cifra los archivos con la extensión .osiris
¿Qué es lo primero que debo hacer?
Una vez has sido "infectado" (has ejecutado el .exe) y te has dado cuenta que te la han colado, lo primero que debes hacer es desconectar el cable de red (para aislar el ordenador de la red y que no siga encriptando o cifrando los documentos de toda la red) y desconectar los discos duros o pendrive si están conectados al ordenador.Lleva cierto tiempo cifrar todos tus archivos, por lo que puedes detenerlo antes de que logre tergiversarlos a todos. Esta técnica no es en absoluto infalible, y debes tener la suerte suficiente de moverte más rápido que el malware; pero aún así, desconectarse de la red es mejor que no hacer nada.
- Desconecta inmediatamente el cable de red del ordenador. Desactiva la conexión Wifi (Wireless, apagando la conexión inalámbrica)
El segundo paso es con mscconfig o autoruns eliminar el "virus" para que no se vuelva a iniciar cuando reiniciemos Windows.
¿Cómo evitar o prevenir infección con CryptoLocker?
Consejo básico de seguridad en Windows: Mostrar la extensión real de un archivo
Una extensión de nombre de archivo es un conjunto de caracteres que se agregan al final de un nombre de archivo para determinar qué programa debería abrirlo.
- Para abrir Opciones de carpeta, haga clic en el botón Inicio, en Panel de control, en Apariencia y personalización y, por último, en Opciones de carpeta.
- Haga clic en la ficha Ver y, a continuación, en Configuración avanzada, realice una de las acciones siguientes:
- Para mostrar las extensiones de nombre de archivo, desactive la casilla Ocultar las extensiones de archivo para tipos de archivo conocidos y, a continuación, haga clic en Aceptar.
-
Antes: .pdf
Ahora mostrará: .pdf.exe
¿Cómo recuperar los archivos y ficheros secuestrados?
- Usando un backup (copia de seguridad física o en la nube, Google Drive, Dropbox, etc)
- Usando versiones anteriores
- Shadow copy (Volume Snapshot Service, Volume Shadow Copy Service, VSS)
- Usar herrmientas específicas. Ver en Otras soluciones
Herramientas de Descifrado
- CoinVault and Bitcryptor Tool Web: https://noransom.kaspersky.com/ Descarga: https://noransom.kaspersky.com/static/CoinVaultDecryptor.zip
- CryptoTorLocker2015 Decrypter Web:http://www.bleepingcomputer.com/forums/t/565020/new-cryptotorlocker2015-ransomware-discovered-and-easily-decrypted/ Descarga: http://ransomwareanalysis.com/CT2015_Decrypter.zip
- DecryptGomasom Tool Web:http://www.bleepingcomputer.com/news/security/gomasom-crypt-ransomwaredecrypted/ Descarga: http://emsi.at/DecryptGomasom
- DecryptInfinite ToolWeb:http://www.bleepingcomputer.com/news/security/cryptinfinite-or-decryptormaxransomware-decrypted/ Descarga: http://emsi.at/DecryptCryptInfinite
- LeChiffre Decryptor Tool Web: http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-thelechiffre-ransomware/ Descarga: http://emsi.at/DecryptLeChiffre
- Locker Unlocker Web: http://www.bleepingcomputer.com/virus-removal/locker-ransomware-information Descarga: https://easysyncbackup.com/Downloads/LockerUnlocker.exe
- RakhniDecryptor Tool Web: https://support.kaspersky.com/sp/viruses/disinfection/10556 Descarga: media.kaspersky.com/utilities/VirusUtilities/RU/rakhnidecryptor.exe
- Ramadant Ransomware Kit Tool Web: http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-therandamant-ransomware-kit/ Descarga: http://emsi.at/DecryptRadamant
- RannohDecryptor Tool Web: https://support.kaspersky.com/mx/8547#block1 Descarga: media.kaspersky.com/utilities/VirusUtilities/EN/rannohdecryptor.exe
- RectorDecryptor Tool Web: https://support.kaspersky.com/viruses/disinfection/4264#block2 Descarga: media.kaspersky.com/utilities/VirusUtilities/EN/rectordecryptor.exe
- TeslaCrypt Tool Web: http://www.talosintel.com/teslacrypt_tool/ Descarga: http://labs.snort.org/files/TeslaDecrypt_exe.zip
- TeslaDecoder Tool (hasta version 3 de Teslacrypt y Alphacrypt) Web: http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomwareinformation#decrypt Descarga: http://download.bleepingcomputer.com/BloodDolly/TeslaDecoder.zip
CCN-CERT, - Medidas de Seguridad contra el Ransomware (Enero 2016)
¿Cómo saber con que variante he sido infectado y si se puede descifrar?
Puedes usar la página web ID Ransomware para detectar los diferentes tipos de ransomware existentes, cmo CryptoWall, TeslaCrypt, Locky, o Jigsaw:
Simplemente subiendo la nota de rescate y un fichero cifrado (.encrypted) la herramienta detectará la variante.
El servicio es completamente gratuito y fácil de usar, pues el usuario sólo debe subir la nota que genera el ransomware tras la infección, a veces en tres diferentes formatos (texto plano, HTML y BMP), y uno de los archivos cifrados como muestra, o bien, también puede hacerlo subiendo sólo uno de los dos archivos.
Soporta 52 variantes ransomware: 7ev3n, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, Unknown, VaultCrypt
Recuperar datos secuestrados por algunos ransomware con kit de herramientas
Cada ransomware tiene su propia herramienta de recuperación, sin embargo Ransomware Removal Kit, un kit de herramientas que recopila las principales herramientas necesarias para hacer frente a a los ransomwares más comunes.
Tipos de ransomware soportados:
- BitCryptor
- CoinVault
- CryptoDefense
- CryptoLocker
- FBIRansomWare
- Locker
- LosPollos
- OperationGlobal
- PCLock.
- TeslaCrypt
- TorrentLocker
http://blog.elhacker.net/2016/04/microsoft-alerta-de-e-mails-con-adjuntos-maliciosos-en-javascript-y-macros-word-office.html
http://blog.elhacker.net/2015/04/nueva-variante-del-virus-cryptolocker-ransomware-secuestro-crypt0l0cker.html
http://blog.elhacker.net/2016/04/nueva-oleada-del-virus-crypt0l0cker-con-aviso-de-correos-de-carta-certificada.html
http://blog.elhacker.net/2016/04/como-evitar-prevenir-que-un-ransomware-cifre-secuestre-los-ficheros-archivos-en-servidor-windows.html
Via: blog.elhacker.net
Nueva campaña Ransomware Locky - Osiris
Reviewed by Zion3R
on
13:43
Rating: