Ficolsa Asesores

Se acaban las vacaciones y vuelven los ransomware de Correos

Detectada una nueva campaña de phishing que suplanta la identidad del servicio de Correos. El objetivo es engañar a los usuarios por medio de ingeniería social para redirigirlos a una web maliciosa e intentar que descarguen e instalen malware en su equipo. Este malware cifrará los archivos del equipo dejándolos inaccesibles para posteriormente pedir un rescate si se quieren descifrar.

Recursos afectados 

Potencialmente cualquier usuario que haga uso del correo electrónico y reciba un correo malicioso con las características descritas en este aviso de seguridad.

Solución

¿Ha recibido el correo y descargado y ejecutado el malware?

Si este es su caso, es muy probable que su ordenador esté infectado y, además, todos los ficheros almacenados en él estén cifrados.

¿Cómo desinfectar el ordenador?

Para eliminar la infección, en principio, se puede utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Dependiendo de la importancia de los datos perdidos es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte). El clonado es importante ya que si quiere interponer una denuncia todos los archivos serán necesarios para la investigación, además es muy probable que exista alguna herramienta capaz de descifrar los archivos en un futuro.

Si dispone de una licencia de algún antivirus, también puede contactar con su departamento de soporte técnico para que le indiquen la manera de proceder ya que muy probablemente tengan más información de otros usuarios afectados.

¿Cómo recuperar los datos cifrados?

El Instituto Nacional de Ciberseguridad de España (INCIBE) a través del CERT de Seguridad e Industria (CERTSI) dispone de un servicio gratuito de análisis y descifrado de ficheros afectados por ciertos tipos de ransomware.

¿Pagar sirve para recuperar mis archivos?

No lo recomendamos. Se trata de estafadores y no existe garantía alguna de recuperar los datos una vez efectuado el pago.

Por último, si no lo ha hecho ya, puede poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado: https://www.gdt.guardiacivil.es/webgdt/home_alerta.php

Evite ser víctima de fraudes de tipo phishing siguiendo estas recomendaciones:

  • No abra correos de usuarios desconocidos o que no haya solicitado, elimínelos directamente.
  • No conteste en ningún caso a estos correos. 
  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos. 
  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos. 

¿No ha recibido un correo de estas características? ¿Ha recibido el correo pero no ha realizado ninguna acción? 

Tenga cuidado y no baje la guardia. Si se cuela en su bandeja de entrada algún email cuyo asunto es igual o parecido al que hemos descrito en aviso, elimínelo directamente. En ningún caso acceda a enlaces que éste pueda facilitar ni descargue y/o ejecute posibles ficheros que puedan traer adjuntos.

Realice copias de seguridad, en un soporte que no esté conectado al ordenador (excepto al hacer la copia) de toda la información que considere imprescindible, para que en caso de que su ordenador se vea afectado por algún incidente de seguridad, no la pierda.

Detalles 

Esta campaña de phishing que se está propagando tiene como asunto "Carta Certificada CD 61278791640" y como se muestra en la imagen el dominio no se corresponde con el real de Correos.

El mensaje es el siguiente:

correos 1

 

Bajo el pretexto de que en 30 días el destinatario tendrá que pagar un recargo de 9.79€ si no retira la carta certificada se fuerza al usuario a que haga clic en el enlace "Descargar información sobre su pedido".

Si el usuario selecciona el enlace anteriormente citado será redirigido a una web similar a la siguiente:

correos 2

 

La web fraudulenta muestra el logo de Correos y un mensaje que queda estático. Además se descarga automáticamente un archivo comprimido llamado "Carta_Certificada.zip" que en su interior contendrá otro archivo llamado "Carta_Certificada.js" que será el encargado de comenzar todo el proceso de cifrado del equipo.

 

Fuente: OSI (Oficina de Seguridad del Internauta)

FICOLSA ASESORES S.L. Pozo Dulce, 16. 13001 CIUDAD REAL. España.Teléfono: +34 926 25 18 28. Email:   Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla.

Esta dirección de correo electrónico está protegida contra spambots. Usted necesita tener Javascript activado para poder verla.  Síguenos en Facebook  Twitter  Síguenos en Google+

 

Inicio Articulos (2) Protección de Datos Se acaban las vacaciones y vuelven los ransomware de Correos