Ficolsa Asesores

Intento de secuestro del ordenador mediante fichero de word

Gravedad: ALTA

Destinatarios del aviso: Responsables de Ficheros / Responsables de Seguridad / Personal de la organización.

Un nuevo malware que cifra los ficheros del ordenador se está propagando mediante un correo electrónico que lleva adjunto un fichero Word con una macro (programa que se ejecuta al abrir el documento) que descarga código malicioso en nuestro ordenador, dejándolo infectado.

Recursos afectados

Todos los usuarios que hayan recibido el correo, lo hayan abierto y hayan habilitado las macros.

Solución

Si un usuario ha sido infectado por este ransomware y sus ficheros han sido cifrados, la única solución pasaría por restaurar una copia de seguridad desde un sistema formateado.

Detalles

Se ha detectado una nueva campaña de ransomware, es un tipo de malware que cifra los documentos del ordenador que infectan y luego piden un "rescate económico" para descifrar los ficheros.

Uno de los correos electrónicos que se están usando para infectar a otros usuarios es:

secuestro

 

Otro asunto utilizado es ATTN:Invoice

Simula ser un documento escaneado, que en realidad es un fichero de Word con extensión DOCM, lo que implica que contiene macros. En este caso esa macro es la responsable de la infección del ransomware Locky. En el supuesto de que el usuario no habilite las macros al abrirlo, mostrará un documento de texto, con caracteres que no tienen sentido, y un mensaje en rojo que indica "habilite las macros si la codificación de los datos es incorrecta".

secuestro1

 

Este es el engaño empleado para que el usuario habilite las macros, y de esta forma, se descargue el ransomware que infectará el equipo.

El resultado de la infección es el cifrado de los ficheros de ordenador además de la modificación del nombre y extensión de los mismos. El nombre estará compuesto por una serie de letras y números y la extensión es .locky. Un fichero que se llamara EJEMPLO1.PDF podría quedar como 7091F1D24A922B1A7FC27E19A9D9BC.locky. Este cifrado afecta a muchos tipos de ficheros y a todas la unidades de disco conectadas, también a las unidades de disco mapeadas y a las unidades compartidas que estén conectadas.

Otra de las funciones de este ransomware es que elimina todas las "Shadow Volume Copies" para que no se puedan restaurar las copias (en infecciones anteriores con este tipo de malware se podían restaurar copias en algunos casos).

En caso de infección, nos mostrará un mensaje como este:

secuestro2

 

Hay que tener claro, que pagar no garantiza en ningún caso recuperar los ficheros, y no recomendamos realizar esta acción porque la extorsión puede continuar.

Para evitar este tipo de infecciones debemos tener en cuenta:

Evite ser víctima de este tipo de fraudes siguiendo estas recomendaciones:

En el caso de documentos de Office con macros, verificar siempre el origen del correo y analizarlos con antivirus actualizados.

No abra correos de usuarios desconocidos o que no haya solicitado, elimínelos directamente.

No conteste en ningún caso a estos correos.

Precaución al seguir enlaces en correos aunque sean de contactos conocidos.

Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos si necesita abrirlo, antes analícelo con servicios como Virustotal.

La medida de seguridad más efectiva ante este tipo de problema es la copia de seguridad en dispositivos que no estén conectados al ordenador de forma continua, en soportes como CD y DVD o en servicios de copia de seguridad online. Mantenga varios juegos de copia.

 

 

FUENTE: OSI (OFICINA DE SEGURIDAD DEL INTERNAUTA)

FICOLSA ASESORES S.L. Pozo Dulce, 16. 13001 CIUDAD REAL. España.Teléfono: +34 926 25 18 28. Email:   Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla.

Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla.  Síguenos en Facebook  Twitter  Síguenos en Google+

 

Inicio Articulos (2) Protección de Datos Intento de secuestro del ordenador mediante fichero de word