Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
Whois Server: whois.reg.ru
Referral URL: http://www.reg.ru
Name Server: NS1.REG.RU
Name Server: NS2.REG.RU
Status: clientTransferProhibited
Updated Date: 03-dec-2014
Creation Date: 03-dec-2014
Expiration Date: 03-dec-2015
Si se hace click en el enlace que propone el correo, llegamos a una URL tal que así:
http://correos24.net/login.php?id=76264463456
Y, si se cumple la máxima de que la IP sea Española (he probado con variantes de varios países) llegamos a una URL tal que así:
http://correos-online.org/5a99b6186605843b7fdbc19400439af4
Y luce de esta forma:
En caso de que la IP sea de otro país, nos lleva a Google.
Y al rellenar dicho captcha, se descarga al equipo un fichero ZIP que contiene el troyano.
El dominio correos-online.org se ha registrado igualmente el 2 de Diciembre:
Domain Name:CORREOS-ONLINE.ORG
Domain ID: D174700842-LROR
Creation Date: 2014-12-02T13:28:53Z
Updated Date: 2014-12-02T13:28:54Z
Registry Expiry Date: 2015-12-02T13:28:53Z
Sponsoring Registrar:null (R2011-LROR)
Sponsoring Registrar IANA ID: 1564
UPDATE: Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker
Panda Security alerta en una nota de prensa de un ataque a gran escala del troyano CryptoLocker, que se están llevando a cabo en estos momentos en España, a través deun falso email de Correos.
CryptoLocker es un peligroso troyano del tipo ransomware, es decir, secuestra tu ordenador y no lo libera hasta que pagas un rescate. CryptoLocker es especialmente peligroso porque encripta todos los datos de tu disco duro, así que la única forma de liberarlo es formateando el disco, con la consiguiente pérdida de datos.
Panda ha detectado el envío masivo de emails que simulan ser de Correos. Aprovechando que en Navidad se envían muchos más paquetes, el falso email te avisa de que Correos no ha podido entregarte un pedido, y te pide que pinches en un enlace para obtener más información. Al hacerlo, te envía a una web en donde debes teclear un captcha (una secuencia de números) para demostrar que eres una persona, y no un programa:
En realidad, al introducir los datos lo que estás haciendo es instalar el troyano CrytoLocker, que encriptará todos los ficheros de tu disco duro, impidiéndote usarlos. Te pedirá un rescate para devolvértelos, aunque en la mayoría de los casos aunque pagues, el troyano nunca los liberará.
Consejos para evitar CryptoLocker
- Extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos o con enlaces externos
- Desactivar la opción de Windows que oculta las extensiones conocidas también ayudará a reconocer un ataque de este tipo
- Es muy importante tener un sistema de backup de nuestros ficheros críticos, lo que nos garantiza que no solo en caso de infección podamos mitigar el daño causado por el malware, sino que también nos cubrimos antes problemas del hardware
- Si no tenemos un backup y nos hemos infectado, no hay que pagar el rescate. Esta nunca debería ser la solución para recuperar nuestros ficheros, ya que convierte aCryptoLocker en un modelo de negocio rentable, lo que impulsará el crecimiento y la expansión de este tipo de ataque
[Fuente: Panda Security]
