Cryptowall 4.0
Departamento Informática Qué es cryptowall 4.0? Se trata de una nueva versión de Ransomware que afecta nuestro equipo, tomando dominio de él y encriptando gran parte de la información contenida. Qué es un Ransomware? Corresponde a una categoría de virus que tiene la capacidad de tomar control de nuestro equipo y robar o encriptar nuestra información, generalmente pidiendo un pago a cambio de ello. Esta modalidad de virus se ha masificado este último tiempo ya que la finalidad actual de los hackers no solo es quitar y robar nuestra información, de hecho, en muchos casos no es lo más importante, sino por el contrario, pedir recompensas monetarias no menores y poder estafar a empresas y particulares en su ejecución. A lo largo de este pequeño manual veremos algunos mecanismos de infección, forma de evitar estos virus, y como protegernos y aumentar nuestros niveles de seguridad en la empresa y nuestro hogar. y en palabras técnicas, de qué estamos hablando? Se trata de un troyano de la familia Ransomware, que como hemos mencionado anteriormente, toma dominio de nuestro equipo y encripta e infecta gran parte de nuestra información. Aunque los documentos oficiales del virus nos hablan de un cifrado RSA2048, sabemos que la cursividad de los archivos es otra, haciendo casi imposible su recuperación si no es por el medio que estos mismos hackers nos ofrecen. Entre el gran listado de archivos que puede llegar a infectar, encontraremos:.sql,.mp4,.7z,.rar,.m4a,.wma,.avi,.wmv,.csv,.d3dbsp,.zip,.sie,.sum,.ibank,.t13,.t12,.qdf,.gdb,.tax,.pkpass,.bc6,.bc7,.bkp,.qic,.bkf,.sidn,.sidd,.mddata,.itl,.itdb,.icxs,.hvpl,.hplg,. hkdb,.mdbackup,.syncdb,.gho,.cas,.svg,.map,.wmo,.itm,.sb,.fos,.mov,.vdf,.ztmp,.sis,.sid,.ncf,.menu,.layout,.dmp,.blob,.esm,.vcf,.vtf,.dazip,.fpk,.mlx,.kf,.iwd,.vpk,.tor,.psk,.rim,.w3x,.fsh,.ntl,.arch00,.lvl,.snx,.cfr,.ff,.vpp_pc,.lrf,.m2,.mcmeta,.vfs0,.mpqge,.kdb,.db0,.dba,. rofl,.hkx,.bar,.upk,.das,.iwi,.litemod,.asset,.forge,.ltx,.bsa,.apk,.re4,.sav,.lbf,.slm,.bik,.epk,.rgss3a,.pak,.big, cartera,.wotreplay,.xxx,.desc,.py,.m3u,.flv,.js,.css,.rb,.png,.jpeg,.txt,.p7c,.p7b,.p12,.pfx,.pem,.crt,.cer,.der,.x3f,.srw,.pef,.ptx,.r3d,.rw2,.rwl,.raw,.raf,.orf,.nrw,.mrwref,.mef,.erf,.kdc,.dcr,.cr2,.crw,.bay,.sr2,.srf,.arw,.3fr,.dng,.jpe,. jpg,.cdr,.indd,.ai,.eps,.pdf,.pdd,.psd,.dbf,.mdf,.wb2,.rtf,.wpd,.dxg,.xf,.dwg,.pst,.accdb,.mdb,.pptm,.pptx,.ppt,.xlk,.xlsb,.xlsm,.xlsx,.xls,.wps,.docm,.docx,.doc,.odb,.odc,.odm,.odp,.ods,.odt Como podemos apreciar, el alcance de este virus es tal, que en definitiva vuelve inservible nuestro computador, motivo por el cual debemos estar atentos a los indicios de infección que veremos a continuación.
Departamento Informática En primer lugar, y como punto más importante, NO DEBEMOS ABRIR NINGUN CORREO DESCONOCIDO, ya que se ha detectado que el UNICO MEDIO DE MASIFICACION de este virus es la campaña de spam. Motivo de lo mismo es que debemos estar atentos a correos de las características como el que vemos a continuación. Y aunque no es el unico formato de correo, debemos cuidarnos de todos aquellos remitentes desconocidos, y bajo ningún caso descargar archivos adjuntos o hacer click en enlaces sospechosos que vengan en el correo. QUE NO LES GANE LA CURIOSIDAD, es mejor quedar con la duda a posteriormente estar lamentando informacion valiosa de nuestra empresa. Qué pasa si ya me infecte? Lamentablemente aun no existe antivirus que detecte esta infección, basicamente por su comprtamiento de infeccion inmediata y no progresiva como el común de los virus. Aún asi, tenemos un par de consejos que nos ayudaran a frenar lo antes posible el virus, y con ello, evitar la pérdida completa de nuestra informacion.
Departamento Informática En primera instancia, desde el momento que nos infectamos en nuestras pantallas de cada carpeta, mis documentos, escritorio, entre otras, aparecen archivos HELP_YOUR_FILES.TXT y HELP_YOUR_FILES.HTML, además de una imagen como la que vemos a continuación pidiendo el pago del rescate.
Departamento Informática Desde este momento sabremos que nuestro equipo esta infectado y debemos realizar automaticamente las siguientes acciones para frenar su avance: - Desconectar toda carpeta o recurso compartido del equipo, ya que aunque no se transmite por red, tiene la capacidad de infectar estos documentos. - Desconectar completamente el equipo de la red, ya sea LAN o WAN. - Detener cualquier proceso sospechoso que se este ejecutando. Generalmente no tiene nombre de fabricante por lo cual se nos hace mas fácil identificarlo. (RECOMENDADO PARA REALIZARCE POR EL ENCARGADO DE INFORMATICA) - Ir a la carpeta APPDATA del usuario que se infecto y buscar en su raíz, asi como en las subcarpetas LOCAL, LOCAL LOW y ROAMING cualquier ejecutable de nombre al azar que contenga la fecha y hora de al infección y nos parezca sospechoso. (RECOMENDADO PARA REALIZARCE POR EL ENCARGADO DE INFORMATICA) - Finalmente si el problema persiste, APAGAR EL EQUIPO y contactar al equipo de soporte de nuestra empresa que puede guiarlo en la ejecución de estas tareas. Y que pasa con mis archivos? Podre recuperarlos? Virtualmente se hace imposible una recuperacion total de los documentos encriptados, sin embargo, si realizamos las tareas anteriores y en el menor tiempo posible, podremos ejecutar algunas pruebas de recuperacion. - En primer lugar descargar la herramienta SHADOW EXPLORER, la cual nos permite revisar las copias de seguridad de windows (siempre y cuando estas no hayan sido eliminadas) y desmembrarlas para recuperar archivo por archivo a un estado anterior a la infeccion. - Si la copia de seguridad no se encontrase en el equipo, debemos buscar el archivo KEY.DAT, el cual contiene nuestros datos de encriptacion y podria eventualmente ayudarnos a recuperar informacion. Si este archivo se encontrase en el equipo, comuniquese inmediatamente con nosotros. Finalmente y a modo de conclusión, recordar que somos el primer nivel de seguridad de nuestra empresa, por lo cual debemos tener cuidado con cada correo que abrimos, asi como tambien REALIZAR RESPALDOS DE DATOS IMPORTANTES para no lamentarlos en el futuro.