logo

ALERTA! VIRUS CRYPTOWALL 2.0

Hemos detectado en múltiples clientes una nueva oleada de infecciones víricas, o más bien extorsiones, por parte del malware CryptoWall 2.0. por lo que hemos considerado oportuno hacerlo extensible a todos vosotros para que toméis las medidas correspondientes.

CryptoWall 2.0, con fecha de aparición 3 de octubre de 2014, es un malware mejorado basado en CryptoWall de mayo de este año.

Este malware se caracteriza por utilizar la red TOR (http://ca.wikipedia.org/wiki/tor_(red)) para comunicarse con la consola del atacante haciendo difícil la detección mediante los sistemas de protección perimetrales (dispositivos UTM, anti-malware en tránsito, …).

¿Qué mal me puede hacer a mí?
Simplemente CIFRAR todos tus ficheros del ordenador, con lo qué se pierde completamente el acceso a los mismos, quedan completamente inservibles. Para recuperarlos, una vez eliminado cualquier rastro del malware, hay que utilizar la copia de seguridad (¡ojo! que estas tampoco estén cifradas), por lo que

“RECOMENDAMOS QUE REVISÉIS EL CORRECTO FUNCIONAMIENTO Y RECUPERACIÓN DE LOS DATOS DE LAS COPIAS DE SEGURIDAD.”

El otro método de recuperación, nada recomendable, es seguir la extorsión que, como en la mayoría de casos, empezará a pagar para nada, entrando en una espiral de más y más.

¿Cómo lo puedo coger?
Este es un punto delicado, ya que en la mayoría de infecciones el usuario nos ha indicado que le ha llegado un correo electrónico inofensivo, habitual, conocido, …Por ejemplo, de un pedido por UPS. El caso es que al abrir el correo y clicar al enlace proporcionado aparentemente no pasa nada de nada.

“OJO AL CLICAR EN ENLACES DE CORREOS ELECTRÓNICOS DESCONOCIDOS O QUE SE DESCONFÍA.”

Pero el regalo ya ha llegado, al cabo de uno o dos días, para no levantar sospechas, misteriosamente aparece un icono junto al reloj de Windows indicando que se tiene que actualizar el JAVA (¿cuántas veces aparece este icono?) o bien el Adobe Flash, … Aplicaciones muy conocidas por los usuarios y que saben que tienen que actualizar. Y aquí es donde empieza el desenlace fatídico, al aceptar esta actualización nuestro amigo se pone en funcionamiento y ya no hay quien lo pare.

“Yo tengo un MAC, estas cosas no pasan”.
Perdonad, pero SI que pasan. Este malware también opera en el sistema operativo Apple, por lo que se tienen que tomar las mismas precauciones.

Me parece que tengo el virus, ¿qué puedo hacer?
Actuar lo más rápido posible. Desenchufar el cable eléctrico del equipo (y batería si es un portátil) para minimizar el mal, para evitar que continúe cifrando más ficheros. Después, hay que limpiar el equipo del virus, poniendo en marcha en modo seguro, eliminando las claves de registro, pasando un anti-virus por el disco duro y FINALMENTE, recuperar una copia de seguridad de los datos.

¿Se podrán recuperar los ficheros cifrados por el virus?
NO. No se podrán recuperar los ficheros, es una extorsión directa de bandas organizadas. PAGAR no es ni la solución ni ninguna garantía. La PREVENCIÓN es la mejor arma de que disponemos: comprobar las copias de seguridad (con diferentes versiones y diferentes apoyos (cintas, discos…)) y evitar clicar o entrar en webs sospechosas.

Finalmente, hacer la denuncia al cuerpo de los Mossos de Esquadra o la Guardia Civil. No servirá para recuperar vuestros ficheros, pero si para que los CERTs  puedan actuar en consecuencia (informar a la población, intentar paliar los ataques, localizar la banda extorsionadora, …)

Mossos de Esquadra:
Guardia Civil: https://www.gdt.guardiacivil.es/webgdt/home_alerta.php

Más información del virus a:
http://www.f-secure.com/weblog/archives/00002750.html

Comments are closed.