Colombia, sexto país más afectado por ataque electrónico que cifra archivos de la víctima

CTB-Locker.png

El Laboratorio de Investigación de ESET Latinoamérica recibió múltiples reportes de una campaña de propagación de códigos maliciosos cuyo objetivo es cifrar los archivos de sus víctimas y pedir un rescate en bitcoins para recuperar la información. Se trata de CTB-Locker, un ransomware que se propaga a través de un falso correo electrónico que dice contener un fax y que está generado un gran impacto en Latinoamérica.

La campaña de propagación de este ataque comienza con un falso correo electrónico que llega a la bandeja de entrada de los usuarios. El asunto del correo simula ser un fax enviado al usuario con un adjunto, el mismo es detectado por las soluciones de ESET como Win32/TrojanDownloader.Elenoocka.

Los usuarios que ejecuten esta amenaza tendrán todos sus archivos cifrados ya que este malware descarga un ransomware conocido como Win32/FileCoder.DA, y se les exigirá pagar un rescate en bitcoins para recuperar su información. Un ataque similar al que reportamos anteriormente con CryptoLocker.

El resultado es similar a CrytoLocker o TorrentLocker, los archivos con extensiones como mp4, .pem, .jpg, .doc, .cer, .db entre otros, son cifrados por una clave. Una vez que el malware terminó de cifrar la información del usuario mostrará por pantalla un cartel de alerta y además cambiará el fondo del escritorio con un mensaje que dice que los archivos del usuario están encriptados por el CTB-Locker.

Si bien el mensaje que ve la víctima afectada por este malware cuenta con traducción al alemán, holandés e italiano y no al español, el Laboratorio de ESET ha recibido un gran número de reportes de estas campañas de propagación en Latinoamérica. Según los sistemas de Alerta Temprana de ESET en el ranking Colombia aparece como el sexto país más más afectado en la región.

Frente a esta amenaza existen ciertas medidas de seguridad que se recomiendan para usuarios y empresas:

  • Habilitar las funcionalidades de filtrado de extensiones posiblemente maliciosas en las soluciones de seguridad para servidores de correos. Esto ayudará a bloquear archivos con extensiones .scr como el caso de Win32/TrojanDownloader.Elenoocka.
  • Evitar abrir adjuntos de dudosa procedencia en correos que no se ha identificado el remitente
  • Eliminar los correos o marcarlos como Spam para evitar que otros usuarios o empleados de la empresa se vean afectados por estas amenazas
  • Mantener actualizadas las soluciones de seguridad para detectar las últimas amenazas que se están propagando.

“El impacto que esto puede tener para una empresa o un usuario que no cuenta con una solución de backup, es capaz de convertirse en un verdadero problema”, comentó Pablo Ramos, especialista en seguridad de ESET Latinoamérica. “Contrarrestar este tipo de ataques puede no ser una tareas sencilla y es necesario tomar una postura proactiva, apoyar a la tecnología con educación y por sobre todo estar atentos a los correos que se reciben.”

fuente http://www.vanguardia.com/actualida...ectado-por-ataque-electronico-que-cifra-archi
 
  • Me gusta
Reacciones: darkusanagi
Conozco 2 empresas donde por ni siquiera pensar en licenciar una solucion de seguridad (lease antivirus) han caido con eso, lo mejor en estos casos es restaurar la copia de seguridad... cuando no hay es que comienzan entre todos a echarse culpas.
 
OJO!!! ya me trajeron al local el primer computador con ese virus... encripta todo... no alcance a revisar por que no lo dejaron... pero la verdad lo dejo todo encriptado... asi que es una porqueria...

ojo
 
  • Me gusta
Reacciones: camilof12
Falta sobre todo mucha cultura de seguridad, la mayoria de personas de comun reciben correos sospechosos, los abren y ejecutan archivos a diestra y siniestra, aqui en la empresa una vez tuvimos un virus que jodio varios PC's, desde ese dia se hablo con todos y quedo prohibido abrir correos de dudosa procedencia o que no se esten esperando, pero bueno asi pasa en la mayoria de casos, no se toman medidas hasta que no pasa algo asi.
 
  • Me gusta
Reacciones: camilof12
Lo importante es tener el sistema operativo actualizado y el antivirus, mucha gente cae abriendo esos correos en cadenas y ******d.as así....
 
Pues ahora son las 3:16 de la madrugada y llevo 9 horas reparando un server 2008 r2 con un buen aseguramiento, la red en cuestión tiene dos firewalls uno interno y otro externo, les comentare el caso.
1- El server en cuestion tenia la BD de correos.
2. Existe dos consolas de antivirus, una para los usuarios otra para los servidores.
3. Existen políticas de acceso y perfiles de usuario.
4. la red esta asegurada por filtrado de paquetes y por dos firewalls (fortinet y cisco asa), ademas un ids [esto ultimo nunca sirvió para una mielda o nunca a servido]
5. se dice cifrar, no encriptar los egipcios encriptaban a sus faraones en sus criptas.

y todo esto valió madres por que un administrador de red, le llego un correo que decía, buenas tardes ingeniero envió adjunto configuracion nuevos servicios, pero que pasa cuando un un virus (de los bueno, no esas mieldas que se copian por usb) es cargado en un PST, pues si es leído (por el sistema) osea se cargo en la bandeja vale mieldas si lo ejecutaron o no el sistema ya lo cargo en la memoria, el que les toco a ellos es lo que uno llama un coctel, virus de secuestro de información que ademas de ser un poderoso troyano que infecto el router baraton usado como ap en cafeteria (dlink de 80mil pesos), utilizo el server para copiarse a toda la lista de contactos de la compañía, y como si fuera una maldición gitana esta también infectado el backup del mes por que el mismo ingeniero en cuestión solo hacia backups los 21 de cada mas por que así se podían ahorrar plata en las LtO.
así que virus cargado a la memoria del sistema, administrador de red que le dio fruta pereza de revisar el correo en cuestión en su portátil y aprovecho que estaba en el datacenter para cargar las configs de dicho correo en la red y dijo por que no lo vemos desde acá....... menos mal el sr don psykho es un personaje que separa de la red de los correos y los usuarios, los servidores de producción, por que o si no..... que paso se pago el secuestro 190 bitcoins, pero adivinen en mismo servidor estaban las configuraciones de en texto plano(quien frutas le cabe en la cabeza dejar cosas como esas en texto plano) de los usuarios, algo como pedro perez buzon numero 1 usuario p.perez@xxxx.gov.co contraseña 123456 cargo gerente admin pagos, osea todos los correos de la compañía comprometidos. así que vale miledas tener un sistema aprueba de robos o infecciones, si el que cuida es bobo..... mas peligroso que un virus un troyano o un malware, es un bobo con las llave del datacenter. #malwaremustdie
 
Pues ahora son las 3:16 de la madrugada y llevo 9 horas reparando un server 2008 r2 con un buen aseguramiento, la red en cuestión tiene dos firewalls uno interno y otro externo, les comentare el caso.
1- El server en cuestion tenia la BD de correos.
2. Existe dos consolas de antivirus, una para los usuarios otra para los servidores.
3. Existen políticas de acceso y perfiles de usuario.
4. la red esta asegurada por filtrado de paquetes y por dos firewalls (fortinet y cisco asa), ademas un ids [esto ultimo nunca sirvió para una mielda o nunca a servido]
5. se dice cifrar, no encriptar los egipcios encriptaban a sus faraones en sus criptas.

y todo esto valió madres por que un administrador de red, le llego un correo que decía, buenas tardes ingeniero envió adjunto configuracion nuevos servicios, pero que pasa cuando un un virus (de los bueno, no esas mieldas que se copian por usb) es cargado en un PST, pues si es leído (por el sistema) osea se cargo en la bandeja vale mieldas si lo ejecutaron o no el sistema ya lo cargo en la memoria, el que les toco a ellos es lo que uno llama un coctel, virus de secuestro de información que ademas de ser un poderoso troyano que infecto el router baraton usado como ap en cafeteria (dlink de 80mil pesos), utilizo el server para copiarse a toda la lista de contactos de la compañía, y como si fuera una maldición gitana esta también infectado el backup del mes por que el mismo ingeniero en cuestión solo hacia backups los 21 de cada mas por que así se podían ahorrar plata en las LtO.
así que virus cargado a la memoria del sistema, administrador de red que le dio fruta pereza de revisar el correo en cuestión en su portátil y aprovecho que estaba en el datacenter para cargar las configs de dicho correo en la red y dijo por que no lo vemos desde acá....... menos mal el sr don psykho es un personaje que separa de la red de los correos y los usuarios, los servidores de producción, por que o si no..... que paso se pago el secuestro 190 bitcoins, pero adivinen en mismo servidor estaban las configuraciones de en texto plano(quien frutas le cabe en la cabeza dejar cosas como esas en texto plano) de los usuarios, algo como pedro perez buzon numero 1 usuario p.perez@xxxx.gov.co contraseña 123456 cargo gerente admin pagos, osea todos los correos de la compañía comprometidos. así que vale miledas tener un sistema aprueba de robos o infecciones, si el que cuida es bobo..... mas peligroso que un virus un troyano o un malware, es un bobo con las llave del datacenter. #malwaremustdie

Eso pensaba yo, ¿que clase de inepto mira correo electrónico en un servidor y además le da click a un correo de fuente no conocida y además ¿como carajos almacenan la información de usuarios de correo en texto plano?

Pd. Me recuerda un militar que conocí que tenía archivo Excel con información sensible de operaciones contra guerrilla y lo "encriptaba" con dos comandos :seleccionar todo , color de texto blanco. De pocas personas me he burlado tanto ...


Enviado desde iOS 8 usando Tapatalk
 
Pero entonces al pagar si pudieron recuperar toda la info? ya les dieron la clave para quitar el cifrado?

Pues ahora son las 3:16 de la madrugada y llevo 9 horas reparando un server 2008 r2 con un buen aseguramiento, la red en cuestión tiene dos firewalls uno interno y otro externo, les comentare el caso.
1- El server en cuestion tenia la BD de correos.
2. Existe dos consolas de antivirus, una para los usuarios otra para los servidores.
3. Existen políticas de acceso y perfiles de usuario.
4. la red esta asegurada por filtrado de paquetes y por dos firewalls (fortinet y cisco asa), ademas un ids [esto ultimo nunca sirvió para una mielda o nunca a servido]
5. se dice cifrar, no encriptar los egipcios encriptaban a sus faraones en sus criptas.

y todo esto valió madres por que un administrador de red, le llego un correo que decía, buenas tardes ingeniero envió adjunto configuracion nuevos servicios, pero que pasa cuando un un virus (de los bueno, no esas mieldas que se copian por usb) es cargado en un PST, pues si es leído (por el sistema) osea se cargo en la bandeja vale mieldas si lo ejecutaron o no el sistema ya lo cargo en la memoria, el que les toco a ellos es lo que uno llama un coctel, virus de secuestro de información que ademas de ser un poderoso troyano que infecto el router baraton usado como ap en cafeteria (dlink de 80mil pesos), utilizo el server para copiarse a toda la lista de contactos de la compañía, y como si fuera una maldición gitana esta también infectado el backup del mes por que el mismo ingeniero en cuestión solo hacia backups los 21 de cada mas por que así se podían ahorrar plata en las LtO.
así que virus cargado a la memoria del sistema, administrador de red que le dio fruta pereza de revisar el correo en cuestión en su portátil y aprovecho que estaba en el datacenter para cargar las configs de dicho correo en la red y dijo por que no lo vemos desde acá....... menos mal el sr don psykho es un personaje que separa de la red de los correos y los usuarios, los servidores de producción, por que o si no..... que paso se pago el secuestro 190 bitcoins, pero adivinen en mismo servidor estaban las configuraciones de en texto plano(quien frutas le cabe en la cabeza dejar cosas como esas en texto plano) de los usuarios, algo como pedro perez buzon numero 1 usuario p.perez@xxxx.gov.co contraseña 123456 cargo gerente admin pagos, osea todos los correos de la compañía comprometidos. así que vale miledas tener un sistema aprueba de robos o infecciones, si el que cuida es bobo..... mas peligroso que un virus un troyano o un malware, es un bobo con las llave del datacenter. #malwaremustdie
 
...así que vale miledas tener un sistema aprueba de robos o infecciones, si el que cuida es bobo..... mas peligroso que un virus un troyano o un malware, es un bobo con las llave del datacenter. #malwaremustdie
Una vez más el problema fue en la interfaz Teclado-Silla, si "los que saben" hacen esas cagad*s, que se puede esperar de los demás.
 
  • Me gusta
Reacciones: FAd
Pero entonces al pagar si pudieron recuperar toda la info? ya les dieron la clave para quitar el cifrado?
si, se recupero lo info, ahora es que el problema esta comprometido toda la información corporativa y los correos. por que el dichoso virus necesita internet para descifrar la información y los archivo docx, xlsx, txt, jpeg, png, avi, mpeg..... y muchos mas lo envía a la red tor, es que no te llega una clave para descifrarlo, es conectare mi rey que te la descifro esto pero ahora también me quedo con tus archivos.
 
Por eso es mejor por motivos de seguridad usar sistemas basados en Unix (OSX, Linux, FreeBSD, etc), aunque hay virus para estos, no son tan peligrosos como para Windows.
 
Pues ahora son las 3:16 de la madrugada y llevo 9 horas reparando un server 2008 r2 con un buen aseguramiento, la red en cuestión tiene dos firewalls uno interno y otro externo, les comentare el caso.
1- El server en cuestion tenia la BD de correos.
2. Existe dos consolas de antivirus, una para los usuarios otra para los servidores.
3. Existen políticas de acceso y perfiles de usuario.
4. la red esta asegurada por filtrado de paquetes y por dos firewalls (fortinet y cisco asa), ademas un ids [esto ultimo nunca sirvió para una mielda o nunca a servido]
5. se dice cifrar, no encriptar los egipcios encriptaban a sus faraones en sus criptas.

y todo esto valió madres por que un administrador de red, le llego un correo que decía, buenas tardes ingeniero envió adjunto configuracion nuevos servicios, pero que pasa cuando un un virus (de los bueno, no esas mieldas que se copian por usb) es cargado en un PST, pues si es leído (por el sistema) osea se cargo en la bandeja vale mieldas si lo ejecutaron o no el sistema ya lo cargo en la memoria, el que les toco a ellos es lo que uno llama un coctel, virus de secuestro de información que ademas de ser un poderoso troyano que infecto el router baraton usado como ap en cafeteria (dlink de 80mil pesos), utilizo el server para copiarse a toda la lista de contactos de la compañía, y como si fuera una maldición gitana esta también infectado el backup del mes por que el mismo ingeniero en cuestión solo hacia backups los 21 de cada mas por que así se podían ahorrar plata en las LtO.
así que virus cargado a la memoria del sistema, administrador de red que le dio fruta pereza de revisar el correo en cuestión en su portátil y aprovecho que estaba en el datacenter para cargar las configs de dicho correo en la red y dijo por que no lo vemos desde acá....... menos mal el sr don psykho es un personaje que separa de la red de los correos y los usuarios, los servidores de producción, por que o si no..... que paso se pago el secuestro 190 bitcoins, pero adivinen en mismo servidor estaban las configuraciones de en texto plano(quien frutas le cabe en la cabeza dejar cosas como esas en texto plano) de los usuarios, algo como pedro perez buzon numero 1 usuario p.perez@xxxx.gov.co contraseña 123456 cargo gerente admin pagos, osea todos los correos de la compañía comprometidos. así que vale miledas tener un sistema aprueba de robos o infecciones, si el que cuida es bobo..... mas peligroso que un virus un troyano o un malware, es un bobo con las llave del datacenter. #malwaremustdie

apuesto una que debian tener Mcaffee o Norton.. el empresarial que se maneja desde consola...... yo administre el de Mcafee (era algo de point no se )..y claro.. es una real porqueria....

pero resulta que algunas matrices piden que toca tener esa porqueria instalada y fuera de eso las auditan por que asi lo pide Price o Ernst o algun bolardo auditor mongolico retrasado mental... igual me importaba un oluc y mande al orto todo eso.. es que funcionaba mejor Avira o Avast y gratis fuera de eso.... y si no le gustaba al auditor, pues que me chupara las bolas.. de frente les decia que no tenian ni idea, que se dedicaran a auditar a los de contabilidad.. que eso si saben..

Por otro lado, no se preocupe por eso de lo bruto el encargado (obviamente con retraso mental)... el problema es siempre de arriba, en este caso, EL GERENTE QUE LO CONTRATO!!! ese man tiene la culpa por tirar precio y contratar mano de obra barata.. asi de sencillo...

sumerce cobre por horas trabajadas y eso le sale una millonada.... y si es empleado.. pues ahi si perdio por que que mas.......
 
  • Me gusta
Reacciones: FAd

Los últimos temas