jueves, 9 de marzo de 2017

Crypt0l0cker vuelve al ataque

Sin duda, Crypt0l0cker es uno de los ransomware (software que secuestra recursos de un sistema informático y pide un rescate por su liberación) más conocidos. Hoy hemos podido observar una nueva campaña masiva de correos con textos similares entre sí, pero firmados por diferentes personas.

El cuerpo del mensaje coincide entre los distintos mensajes, que contienen un fichero adjunto, y éste a su vez un documento de Office; específicamente Excel.



Hemos podido observar como durante las últimas horas, han circulado diferentes correos con cuerpos similares y firmados por distintas personas.



El documento de Excel mencionado anteriormente, solicita al usuario habilitar las macros para que se pueda ejecutar el código malicioso en la máquina sin que el usuario se dé cuenta.



Observando la macro se encuentra un archivo que descarga remotamente y almacena en el sistema.



El resultado final, tras la ejecución completa de la tarea del atacante, es el que podemos ver a continuación... El clásico mensaje en el que se nos advierte del cifrado de los archivos más importantes y la necesidad de pagar para recuperar la información. De nuevo recordamos evitar cualquier tipo de pago, ya que incluso en la mayoría de las ocasiones suele ser totalmente inútil.



Tras esto, lo más recomendable es mantener las soluciones antivirus actualizadas y sobretodo no abrir mensajes adjuntos de usuarios que desconozcamos, o de cuyo contenido se sospeche. Si recibes correos similares, evita abrir los adjuntos.



Fernando Díaz

5 comentarios:

  1. El archivo dentro del zip es un xls o un xlsx ?

    ResponderEliminar
  2. No siempre viene con un .zip como adjunto. En muchos casos están anexando una URL que redirige al usuario a un repositorio (content) de drobox

    ResponderEliminar
    Respuestas
    1. Existen multiples formas de hacerlo llegar a un usuario, los enlaces vía Dropbox son otra de ellas.

      En este caso, la campaña se llevó a cabo vía e-mail con zips adjuntos. Esta semana se está repitiendo este mismo patrón.

      Eliminar
  3. Este comentario ha sido eliminado por el autor.

    ResponderEliminar