Hem detectat en múltiples clients una nova onada d’infeccions víriques, o més aviat extorsions, per part del malware CryptoWall 2.0. pel que hem considerat oportú fer-ho extensible a tots vosaltres perquè prengueu les mesures corresponents.
CrytoWall 2.0, amb data d’aparició 3 d’octubre de 2014, és un malware millorat basat en CryptoWall del maig d’aquest any.
Aquest malware es caracteritza per utilitzar la xarxa TOR (http://ca.wikipedia.org/wiki/Tor_(xarxa)) per comunicar-se amb la consola de l’atacant fent difícil la detecció mitjançant els sistemes de protecció perimetrals (dispositius UTM, anti-malware en trànsit, etc…).
Quin mal em pot fer a mi?
Simplement XIFRAR tots els teus fitxers de l’ordinador, amb el què es perd completament l’accés als mateixos, queden completament inservibles. Per recuperar-los, un cop eliminat qualsevol rastre del malware, cal utilitzar la còpia de seguretat (ull que aquestes tampoc estiguin xifrades), pel que
“RECOMANEM QUE REVISEU EL CORRECTE FUNCIONAMENT I RECUPERACIÓ DE LES DADES DE LES CÒPIES DE SEGURETAT.”
L’altre mètode de recuperació, gens recomanable, és seguir l’extorsió que, com en la majoria de casos, començarà a pagar per a no res, entrant en una espiral de més i més.
Com el puc agafar?
Aquest és un punt delicat, ja què en la majoria d’infeccions l’usuari ens ha indicat que li ha arribat un correu electrònic inofensiu, habitual, conegut, etc…Per exemple, d’una comanda per UPS. El cas és que a l’obrir el correu i clicar a l’enllaç proporcionat aparentment no passa res de res.
“ULL EN CLICAR EN ENLLAÇOS DE CORREUS ELECTRÒNICS DESCONEGUTS O QUE ES DESCONFIA.”
Però el regalet ja ha arribat, al cap d’un o dos dies, per no aixecar sospites, misteriosament apareix una icona al costat del rellotge de Windows indicant que s’ha d’actualitzar el JAVA (quants cops apareix aquesta icona?) o bé l’Adobe Flash, etc…Aplicacions molt conegudes pels usuaris i que saben que han d’actualitzar. I aquí és on comença el desenllaç fatídic, a l’acceptar aquesta actualització el nostre amic es posa en funcionament i ja no té aturador.
“Jo tinc un MAC, aquestes coses no passen”.
Perdoneu, però SI passen. Aquest malware també opera en el sistema operatiu Apple, pel que s’han de prendre les mateixes precaucions.
Em sembla que tinc el virus, què puc fer?
Actuar el més ràpid possible. Desendollar el cable elèctric de l’equip (i bateria si és un portàtil) per minimitzar el mal, per evitar que continuï xifrant més fitxers. Després, cal netejar l’equip del virus, engegant en mode segur, eliminant les claus de registre, passant un anti-virus pel disc dur i FINALMENT, recuperar una còpia de seguretat de les dades.
Es podran recuperar els fitxers xifrats pel virus?
NO. No es podran recuperar els fitxers, és una extorsió directe de bandes organitzades, PAGAR no és ni la solució ni cap garantia. LA PREVENCIÓ és la millor arma que disposem: comprovar les còpies de seguretat (amb diferents versions i diferents suports (cintes, discs…)) i evitar clicar o entrar en webs sospitoses.
Finalment, fer la denúncia al cos dels Mossos d’Esquadra o la Guardia Civil. No servirà per recuperar els vostres fitxers, però si per que els CERTs puguin actuar en conseqüència (informar a la població, intentar pal·liar els atacs, localitzar la banda extorsionadora, etc…)
Mossos d’Esquadra:
Guardia Civil: https://www.gdt.guardiacivil.es/webgdt/home_alerta.php
Més informació del virus a:
http://www.f-secure.com/weblog/archives/00002750.html