Masivo ataque de CryptoLocker simulando email de Correos

A lo largo de la tarde no he parado de recibir peticiones de ayudas desde varias organizaciones y empresas debido a una masiva infección mediante ‘CryptoLocker’.
La fisonomía del ataque se aleja de los típicos correos mal escritos y que son detectables a simple vista. Por contra, la campaña está empleando e-mails que simulan provenir de Correos y hablan sobre un paquete que no ha podido ser entregado.
El dominio que están empleando (al menos en algunos de esos e-mails) es correos24.net 
Como se puede ver en el whois:
 Domain Name: CORREOS24.NET
Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
Whois Server: whois.reg.ru
Referral URL: http://www.reg.ru
Name Server: NS1.REG.RU
Name Server: NS2.REG.RU
Status: clientTransferProhibited
Updated Date: 03-dec-2014
Creation Date: 03-dec-2014
Expiration Date: 03-dec-2015
 
Es un domino que se ha creado hoy 3 de Diciembre.
Otro de los puntos que convierte esta amenaza en algo muy serio es el hecho de que, tras los correos hay una campaña OSINT previa para dirigir el ataque de forma selectiva a personas a quienes les llegan los correos a su nombre y apellidos.
Esto ayuda a dar credibilidad a dichos e-mails y en muchos casos la gente está descargando el Ransomware.
Los correos lucen tal que así

 

 

Como se aprecia, van PERSONALIZADOS con nombres y apellidos de las personas a las que pertenecen los correos.
Desde aquí instamos a bloquear el dominio correos24.net y recomendamos instalar Anti Ransom para prevenir infecciones.

Si se hace click en el enlace que propone el correo, llegamos a una URL tal que así:

http://correos24.net/login.php?id=76264463456

Y, si se cumple la máxima de que la IP sea Española (he probado con variantes de varios países) llegamos a una URL tal que así:

http://correos-online.org/5a99b6186605843b7fdbc19400439af4

Y luce de esta forma:

En caso de que la IP sea de otro país, nos lleva a Google.

Y al rellenar dicho captcha, se descarga al equipo un fichero ZIP que contiene el troyano.

El dominio correos-online.org se ha registrado igualmente el 2 de Diciembre:

Domain Name:CORREOS-ONLINE.ORG
Domain ID: D174700842-LROR
Creation Date: 2014-12-02T13:28:53Z
Updated Date: 2014-12-02T13:28:54Z
Registry Expiry Date: 2015-12-02T13:28:53Z
Sponsoring Registrar:null (R2011-LROR)
Sponsoring Registrar IANA ID: 1564

UPDATE: Actualmente, muy pocos motores antivirus detectan la variante de CryptoLocker

cryptolocket_troyano_email_correos
image-153781

Panda Security alerta en una nota de prensa de un ataque a gran escala del troyano CryptoLocker, que se están llevando a cabo en estos momentos en España, a través deun falso email de Correos.

CryptoLocker es un peligroso troyano del tipo ransomware, es decir, secuestra tu ordenador y no lo libera hasta que pagas un rescate. CryptoLocker es especialmente peligroso porque encripta todos los datos de tu disco duro, así que la única forma de liberarlo es formateando el disco, con la consiguiente pérdida de datos.

Panda ha detectado el envío masivo de emails que simulan ser de Correos. Aprovechando que en Navidad se envían muchos más paquetes, el falso email te avisa de que Correos no ha podido entregarte un pedido, y te pide que pinches en un enlace para obtener más información. Al hacerlo, te envía a una web en donde debes teclear un captcha (una secuencia de números) para demostrar que eres una persona, y no un programa:

CryptoLocker con email de correos

Navega seguro con estos consejos de Panda Security

En realidad, al introducir los datos lo que estás haciendo es instalar el troyano CrytoLocker, que encriptará todos los ficheros de tu disco duro, impidiéndote usarlos. Te pedirá un rescate para devolvértelos, aunque en la mayoría de los casos aunque pagues, el troyano nunca los liberará.

Consejos para evitar CryptoLocker

  • Extremar las precauciones ante emails de remitentes no esperados, especialmente para aquellos que incluyen ficheros adjuntos o con enlaces externos
  • Desactivar la opción de Windows que oculta las extensiones conocidas también ayudará a reconocer un ataque de este tipo
  • Es muy importante tener un sistema de backup de nuestros ficheros críticos, lo que nos garantiza que no solo en caso de infección podamos mitigar el daño causado por el malware, sino que también nos cubrimos antes problemas del hardware
  • Si no tenemos un backup y nos hemos infectado, no hay que pagar el rescate. Esta nunca debería ser la solución para recuperar nuestros ficheros, ya que convierte aCryptoLocker en un modelo de negocio rentable, lo que impulsará el crecimiento y la expansión de este tipo de ataque

[Fuente: Panda Security]

Valencia noticias Noticias de Valencia, Castellón y Alicante Periódico, prensa digital valenciano, Noticies en Valencià, noticias nacionales e internacionales.

HAZ UN DONATIVO: El periodismo independiente no se paga solo y la publicidad es solo de unos cuantos. Nadie nos dicta qué podemos publicar y qué no. Tampoco lo que tenemos que opinar o investigar. Es nuestro arma para acabar con la impunidad de los más poderosos.

Te necesitamos a ti también para seguir haciendo periodismo, libre e independiente. Las noticias son gratis, pero el periodismo no, ni para hacerlo ni para venderlo

Leave a Reply

Your email address will not be published.