JNC

Virus CryptoLocker: La solución

por · Publicada · Actualizado

 

PULSA AQUÍ

ULTIMA HORA: Ataque por encriptación virus en emails de Endesa. Pulsa aquí.

Si has ya has sido infectado por Crytplocker, para obtener ayuda pulsa aquí.

mensaje_cryptoblocker

CRYPTOLOCKER. UNA SERIA AMENAZA PARA LOS NEGOCIOS.

Hace semanas publiqué una entrada con información acerca de la infección de este peligroso virus que encripta absolutamente todos los ficheros de datos de los ordenadores de las empresas. En el mismo, indiqué cómo prevenirlo, en la medida de lo posible, y que cómo se debían tener las copias de seguridad ante la posibilidad de ser infectados.

Pasado este tiempo, tenemos más información de cómo actúa, y lo que es más importante, la única solución posible para poder recuperar nuestros datos, si hemos sido infectados y no tenemos copias de seguridad o posibilidad de recuperar la información de nuestra empresa.

COMO ACTÚA. CÓMO LLEGA.

En principio, es claro que el medio es un correo electrónico, cuya procedencia aparente es de la oficina de Correos, indicándonos que tenemos un paquete por recoger en la oficina y que pulsemos en un enlace de descarga para conocer la información sobre el envío, y que si no lo hacemos tendríamos que pagar un recargo.

mensajecorreos

Lo primero que llama la atención, es que en la mayoría de los casos, es fácil deducir varias cosas extrañas, que nos harían dudar de la veracidad del mensaje:

  • Caracteres extraños en lugar de las acentuaciones (apóstrofe separador en lugar de acento sobre las vocales).
  • Si se lee el texto con atención, nos daríamos cuenta de que la expresión no es del todo correcta -parece una traducción-. Ejemplo «…. a usted para ‘el est’a manteniendo en la cantidad de 7,55 euros por cada d’ia de cumplir.»
  • Y por último y menos obvio, ¿alguna vez has recibido una notificación de Correos para recoger un paquete?

Al final la cuestión, es que con las prisas, descuidos, cientos de correos que leemos a diario, etc. el usuario pulsa en el enlace y el virus empieza a infectar nuestro sistema, en la trastienda, sin que nos demos cuenta. Posiblemente, únicamente detectemos que nuestro sistema va un poco más lento de lo normal, pero mientras nosotros trabajamos, el virus empieza a encriptar todos los archivos de datos que encuentra en la estructura de directorios de nuestro disco duro principal C:, posibles discos duros secundarios (D:, E:), discos externos USB conectados -posiblemente copias de seguridad-, y cualquier unidad mapeada o recurso de red de servidores u otros equipos de la nuestra red (carpetas de documentos comunes, acceso al programa de facturación, etc.).

Los tipos o extensiones de archivo, son prácticamente todas, DOC, DOCX, XLS, XLSX, DAT, DBF, MDB, PPT, PPTX, etc. La velocidad de encriptación es muy, muy rápida -he conocido casos de encriptar más de 10.000 archivos en menos de 1h.

QUÉ PODEMOS HACER

Antes que nada, hay que saber, que a día de hoy, técnicamente no es posible pararlo. No existe software antivirus o hardware, firewall o similar que tenga la posibilidad de detectar la entrada del correo (a lo sumo una posible detección como Spam de forma aleatoria), ni su ejecución en segundo plano una vez infectado. Esta información la hemos podido constatar con los principales fabricantes de soluciones antivirus y perimetrales, y todos coinciden: «la única opción actualmente, es la prevención».

Es muy importante saber, que el virus o ejecutable que encripta, no se transmite por la red. Es decir, es el propio equipo pc infectado, el que va actuando sobre sus archivos y los que pueda alcanzar en la red, pero esos otros ordenadores o servidores, en su memoria o ejecución, no tienen el virus, ni está actuando, ni por intentar abrir un archivo infectado desde un PC de la red se va a infectar o propagar. Con esto, quiero decir, que en caso de detectar su presencia, por ejemplo, viendo que hay programas que no funcionan o viendo en el disco duro ficheros con extensión adicional .encrypted, lo único que tenemos que hacer es desconectarlos inmediatamente de la red local y/o apagarlo.

Con ello, dejará de actuar el proceso, quizás podríamos incluso trabajar desde otros pc’s no infectados y sobre archivos que no hayan sido encriptados. Ahora sólo nos toca resolver el auténtico problema.

CÓMO RECUPERO MI INFORMACIÓN

Recuerdo, que en mi entrada original de post, del 26 de Marzo, publicamos cómo habíamos podido ayudar a un cliente que nos vino, como primer caso. Un laboratorio de seguridad especializado en resolver problemas de encriptación, nos ayudó, y en menos de 5 horas, el cliente recuperó toda su información.

Ha pasado tiempo desde entonces, y han sido muchos los casos resueltos satisfactoriamente, para nosotros y para nuestros clientes, que vieron peligrar sus datos, sus empleos y sus empresas, sin posibilidad alguna de recuperarlos. Es hoy, cuando podemos decir que hemos solucionado el 99% de nuestros casos. Cierto es, que ahora tardamos más, por la gran cantidad de solicitudes que recibimos a diario, pero en 1 a 3 días podemos asegurar que toda la información es posible recuperarla íntegramente y sobre los mismos equipos infectados, simplemente siguiendo nuestras instrucciones y procesos.

Ese 1% de casos sin resolver, no fueron posibles por otras circunstancias, ya que la información fue manipulada por algunos usuarios o servicios informáticos sin experiencia, y en algunas ocasiones se formatearon los discos, se pasaron programas antispyware, se realizaron procesos de acceso a la FAT del disco, y una serie de operaciones que sólo sirvieron para estropear la información original, y por lo tanto hacerla no recuperable. Personalmente siempre he estado interesado en saber si al final salía alguna vacuna o software standard para solucionarlo, pero creo que todos hemos llegado a la conclusión que no existe. Hay muchas webs con información, pero se limitan a dar información de prevención y seguridad para evitarlo.

Concluyo, indicando lo que creo que todos estáis esperando leer en este post. Que la solución es posible. Que os podemos ayudar, y que vuestras empresas y puestos de trabajo no están en peligro. Simplemente rellena el formulario inferior y te contactaremos.

Si quieres saber más sobre nosotros, pulsa aquí.

 

firma_fran2

 

 

Etiquetas:

También te podría gustar...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *