Nuevo ransomware oculto en archivos Microsoft Office

aasanz
Miembro Honorifico
Nuevo ransomware oculto en archivos Microsoft Office

Se ha detectado una campaña de correos electrónicos fraudulentos de tipo spam cuyo propósito es instalar malware en el equipo de la víctima. Los emails traen adjunto un fichero capaz de cifrar los archivos del ordenador.

 

 

Recursos afectados

 

Cualquier usuario que reciba el correo y tenga instalado Microsoft Office 365.

 

Solución

 

Para eliminar la infección se puede utilizar cualquier antivirus o antivirus auto-arrancable actualizado, pero dependiendo de la importancia de los datos perdidos y si se va a realizar denuncia, es recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte) ya que se podrían eliminar archivos que pudiesen ser necesarios para una investigación.

 

Si dispones de una licencia de algún antivirus, también puedes contactar con su departamento de soporte técnico para que te indiquen la manera de proceder ya que muy probablemente tengan más información de otros usuarios afectados.

 

Para recuperar los ficheros, por el momento, la única posibilidad es desde copias de seguridad que hayas realizado previamente en otros dispositivos o sistemas externos: USB, disco duro extraíble, DVD, la nube, etc.

 

  • Puedes tratar de recuperar parte de la información con alguna herramienta de recuperación de datos, por ejemplo con http://www.piriform.com/recuva

 

  • Así mismo, es posible también recuperar algunos ficheros del correo electrónico. En muchos casos algunos archivos se han podido enviar como documentos adjuntos, por lo que recomendamos revisar tanto la bandeja de entrada como la de elementos enviados. Para algunos clientes de correo existen utilidades específicas para recolectar los ficheros sin necesidad de buscar en cada uno de los mensajes, por ejemplo la siguiente es para Outlook: http://www.nirsoft.net/utils/outlook_attachment.html

 

Si pagas la cantidad de dinero qué solicitan, ¿recuperarás los ficheros cifrados?

 

No lo recomendamos. Se trata de [....] e  s  t  a  f  a d o r e s y no existe ningún tipo de garantía de recuperar los datos una vez efectuado el pago.

 

Por último, si no lo has hecho ya, puedes poner la correspondiente denuncia de lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado: http://www.osi.es/es/reporte-de-fraude

 

Evita ser víctima de este tipo de fraude siguiendo nuestras recomendaciones:

 

 

  • No contestes en ningún caso a estos correos.

 

  • Precaución al seguir enlaces en correos aunque sean de contactos conocidos.

 

  • Precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos.

 

 

Detalles

 

Como comentábamos anteriormente, los correos fraudulentos detectados tienen adjunto un archivo que puede ser un fichero comprimido o un archivo de la suite de Microsoft con macros (programa que se ejecuta al abrir el documento) como puede ser, por ejemplo, un .docm.

 

 

Si la víctima cae en la trampa y descarga el archivo malicioso, éste se ejecutará, si el usuario tiene las macros habilitadas, cuando se reinicie el ordenador. Sino, solicita habilitarlas como se puede apreciar en la siguiente imagen.

 

 

Imagen de muyseguridad.net

 

Cuando se ejecuta, cifra ficheros del ordenador tipo .jpg, .doc, .raw, .avi, etc. y los añade la extensión «.cerber». Después, crea 3 tipos de archivo diferentes en cada carpeta que contenga archivos cifrados llamados #DECRYPT MY FILES# en extensiones .txt, .html y .vbs con instrucciones paso a paso para supuestamente liberarlos en un plazo de tiempo.

 

La siguiente imagen muestra una parte del mensaje #DECRYPT MY FILES#:

 

 

Las instrucciones indican cómo pagar el rescate y amenazan diciendo que de no hacerse efectivo en el tiempo estipulado, se duplicará el precio.

 

 

Además de cifrar los archivos, el malware toma control del sistema de audio del equipo para leer a la víctima la solución para el supuesto descifrado de los archivos.

 

Fuente: Oficina de Seguridad del Internauta

 

Saludos.Guiño

Mensaje 1 de 2
1.436 Visitas
1 RESPUESTA 1
JoseCarlos-Movistar
Experto en Ciberfraude

Buenos días, aasanz.

Muchas gracias por mantenernos informado.

Saludos


Puedes notificarnos cualquier aviso o fraude a través de nemesys@telefonica.esabuse@movistar.es o en el formulario Némesys

También te invitamos a seguirnos en TwitterFacebook y Google+.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 
Solución aceptada.png
Mensaje 2 de 2
1.425 Visitas