IMPORTANTE - Electro1

Vaya al Contenido

Menu Principal:

IMPORTANTE





28-10-2016


¿Windows 10 le consume ancho de banda?


La instalación por defecto de Windows 10, viene con una opción activada que convierte nuestro sistema, en proveedor de actualizaciones a terceros.


Esta opción obliga a un tráfico en la red y consumo de nuestro ancho de banda, pero se puede modificar, y para ello ha de seguir los siguientes pasos:


Inicio

Configuración

Actualización y seguridad

Opciones avanzadas

Selecciona el modo en que quieres que se entreguen las actualizaciones


En esta pantalla se puede modificar el comportamiento, y para evitar que el ancho de banda se vea disminuido y por lo tanto nuestra velocidad, lo ideal es desactivar, no obstante hay dos opciones más para elegir, "Equipos en la red local" y Equipos en la red local y equipos en Internet"


                                             



11 de Agosto de 2016


Parches de Microsoft Agosto de 2016


El segundo martes de Agosto de 2016, Microsoft publicó 9 nuevos boletines de

seguridad, de los cuales 5 han sido catalogados como críticos y 4 como importantes.


Consideramos que estos boletines deben ser del conocimiento de nuestros asociados,

para que apliquen los parches disponibles a la máxima brevedad y de este modo

evitar estar expuestos a futuros ataques.


Los 9 boletines del mes de Agosto de 2016 son los siguientes:


 Boletín de seguridad de Microsoft MS16-095 (Severidad: Crítica)

Cumulative Security Update for Internet Explorer (3177356)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-096 (Severidad: Crítica)

Cumulative Security Update for Microsoft Edge (3177358)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-097 (Severidad: Crítica)

Security Update for Microsoft Graphics Component (3177393)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-098 (Severidad: Importante)

Security Update for Windows Kernel-Mode Drivers (3178466)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-099 (Severidad: Crítica)

Security Update for Microsoft Office (3177451)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-100 (Severidad: Importante)

Security Update for Secure Boot (3179577)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-101 (Severidad: Importante)

Security Update for Windows Authentication Methods (3178465)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-102 (Severidad: Crítica)

Security Update for Microsoft Windows PDF Library (3182248)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-103 (Severidad: Importante)

Security Update for ActiveSyncProvider (3182332)

Boletín Técnico (IT Pro)


Recomendamos el uso de Windows Update para mantener el equipo al día con los

últimos parches de seguridad.






21 de Julio de 2016


UN PROBLEMA EN GAMAIL PERMITE INFECTAR DE VIRUS CUALQUIER ORDENADOR


A pesar de que la ofimática es el 'entorno de acceso a la informática' para los usuarios, en realidad son programas complejos que pueden causar problemas en el ordenador si no se hace un buen uso de ellos. De modo simplificado basta con conocer que una de sus funciones, denominada 'macros', permite ejecutar en el ordenador una serie de acciones automáticas que, como final, tienen el infectar de virus el mismo. Y Gmail cuenta con un filtro contra este tipo de archivos Word, Excel y PowerPoint, pero investigadores expertos en seguridad informática han descubierto que es realmente sencillo engañar al cliente de correo electrónico de Google.

Lo que Gmail incorpora es un 'filtro de seguridad' diseñado para detectar macros maliciosas cuando se intercambian archivos de ofimática a través del cliente de correo electrónico. Es decir, que si recibimos un archivo Word, Excel o PowerPoint, a priori, no deberíamos temer la infección de virus teniendo en cuenta la seguridad de Gmail. Sin embargo, expertos en seguridad informática han descubierto que saltarse este sistema de seguridad es tan sencillo como 'modificar estas macros' para que Gmail no detecte las líneas más comunes en las macros maliciosas más frecuentes.


28-10-2016


¿Windows 10 le consume ancho de banda?


La instalación por defecto de Windows 10, viene con una opción activada que convierte nuestro sistema, en proveedor de actualizaciones a terceros.


Esta opción obliga a un tráfico en la red y consumo de nuestro ancho de banda, pero se puede modificar, y para ello ha de seguir los siguientes pasos:


Inicio

Configuración

Actualización y seguridad

Opciones avanzadas

Selecciona el modo en que quieres que se entreguen las actualizaciones


En esta pantalla se puede modificar el comportamiento, y para evitar que el ancho de banda se vea disminuido y por lo tanto nuestra velocidad, lo ideal es desactivar, no obstante hay dos opciones más para elegir, "Equipos en la red local" y Equipos en la red local y equipos en Internet"


                                             



11 de Agosto de 2016


Parches de Microsoft Agosto de 2016


El segundo martes de Agosto de 2016, Microsoft publicó 9 nuevos boletines de

seguridad, de los cuales 5 han sido catalogados como críticos y 4 como importantes.


Consideramos que estos boletines deben ser del conocimiento de nuestros asociados,

para que apliquen los parches disponibles a la máxima brevedad y de este modo

evitar estar expuestos a futuros ataques.


Los 9 boletines del mes de Agosto de 2016 son los siguientes:


 Boletín de seguridad de Microsoft MS16-095 (Severidad: Crítica)

Cumulative Security Update for Internet Explorer (3177356)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-096 (Severidad: Crítica)

Cumulative Security Update for Microsoft Edge (3177358)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-097 (Severidad: Crítica)

Security Update for Microsoft Graphics Component (3177393)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-098 (Severidad: Importante)

Security Update for Windows Kernel-Mode Drivers (3178466)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-099 (Severidad: Crítica)

Security Update for Microsoft Office (3177451)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-100 (Severidad: Importante)

Security Update for Secure Boot (3179577)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-101 (Severidad: Importante)

Security Update for Windows Authentication Methods (3178465)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-102 (Severidad: Crítica)

Security Update for Microsoft Windows PDF Library (3182248)

Boletín Técnico (IT Pro)


 Boletín de seguridad de Microsoft MS16-103 (Severidad: Importante)

Security Update for ActiveSyncProvider (3182332)

Boletín Técnico (IT Pro)


Recomendamos el uso de Windows Update para mantener el equipo al día con los

últimos parches de seguridad.






21 de Julio de 2016


UN PROBLEMA EN GAMAIL PERMITE INFECTAR DE VIRUS CUALQUIER ORDENADOR


A pesar de que la ofimática es el 'entorno de acceso a la informática' para los usuarios, en realidad son programas complejos que pueden causar problemas en el ordenador si no se hace un buen uso de ellos. De modo simplificado basta con conocer que una de sus funciones, denominada 'macros', permite ejecutar en el ordenador una serie de acciones automáticas que, como final, tienen el infectar de virus el mismo. Y Gmail cuenta con un filtro contra este tipo de archivos Word, Excel y PowerPoint, pero investigadores expertos en seguridad informática han descubierto que es realmente sencillo engañar al cliente de correo electrónico de Google.

Lo que Gmail incorpora es un 'filtro de seguridad' diseñado para detectar macros maliciosas cuando se intercambian archivos de ofimática a través del cliente de correo electrónico. Es decir, que si recibimos un archivo Word, Excel o PowerPoint, a priori, no deberíamos temer la infección de virus teniendo en cuenta la seguridad de Gmail. Sin embargo, expertos en seguridad informática han descubierto que saltarse este sistema de seguridad es tan sencillo como 'modificar estas macros' para que Gmail no detecte las líneas más comunes en las macros maliciosas más frecuentes.

Las macros están diseñadas para mejorar los flujos de trabajo de los usuarios de ofimática, pero precisamente por sus funciones de automatización han sido aprovechadas para fines malintencionados. Por eso, y más teniendo en cuenta que por el momento Gmail sigue siendo vulnerable según este descubrimiento, se recomienda desactivarlas dentro de Microsoft Office y los programas de ofimática similares.

De momento, la compañía de Mountain View no se ha pronunciado al respecto, y según han demostrado los investigadores de seguridad, es un problema que se puede aprovechar aún para infectar ordenadores. De ahí que, como consejo de seguridad, se recomiende deshabilitar las macros en Office. Como paso adicional, siempre es recomendable instalar un antivirus con su base de datos actualizada, de forma que se puedan evitar consecuencias negativas para el ordenador y los archivos almacenados en él.




23 de junio de 2016


Anti Ransom 3.0

 

Una nueva utilidad para mitigar el cifrado de ficheros y beneficiar a los sufridos usuarios de Windows : ANTI RANSOM 3.0

 

Cuando un ransomware infecta nuestro ordenador, automáticamente empieza a cifrar todos nuestros datos de manera que una vez finaliza pide el pago de un rescate para recuperarlos.

 

El creador de esta herramienta ofrece su última versión de dicho software de protección contra los temidos ransomware. Anti Ransom 3.0, que a pesar de haber pasado mucho tiempo desde el lanzamiento de la versión 2.5 Beta, incorpora mejoras y novedades.

 

Novedades del nuevo Anti Ransom 3.0

Una de las novedades de esta nueva versión es que en lugar de estar escrito en Perl se ha cambiado todo el código fuente para hacerlo 100% Python, de manera que ahora la herramienta no requiere de ninguna aplicación comercial como PDK para convertir los scripts en ejecutables sin dependencias.

 

El nuevo Anti Ransom 3.0 quiere ser una aplicación mucho más portable. Por ello, esta nueva versión elimina la dependencia “handle” utilizada para listar los archivos abiertos por una función nativa de Python.

 

Cabe indicar que cuando se lanza dicha utilidad necesita unos cinco minutos para instalarse y que al final de ello indica que ya se ha instalado y que no se borren las carpetas que ha creado.

 

Desde los inicios Anti Ransom ha funcionado como una aplicación inteligente sin base de datos de ransomware, ya que es capaz de identificarlos por su funcionamiento.

Esto sin embargo, generaba un gran número de falsos positivos, ya que cualquier aplicación que intentaba hacer cambios a un fichero o directorio era sospechosa. Para acabar con este problema, esta nueva versión desactiva la indexación de Windows y ahora no se eliminan los procesos automáticamente cuando se detecta actividad sospechosa, sino que se suspenden temporalmente de manera que los datos queden a salvo, para que mientras tanto podamos decidir qué queremos hacer con él.

Tras la detección en cuestión, debe pulsarse el botón de STOP y seguir según indicamos a continuación:

 

Anti Ransom 3.0

 

Hemos probado dicha utilidad con el Cryptolocker que tanto nos ha afectado con las continuas variantes que han ido apareciendo, últimamente en falsos mails de facturas de ENDESA. Efectivamente ha detectado estos intentos de cifrado deteniendo el proceso, llegando a cifrar pocos ficheros. Tras la detección podremos desconectar el ordenador infectado de la Red y pasar nuestra utilidad CLRANSOM.EXE que nos dirá ruta y fichero malicioso. Añadiremos .VIR a su extensión, REINICIAREMOS para que ya no persista residente, de esta forma poder enviar dicho fichero para ser analizado y pasar a controlar si aún no es conocido por los antivirus, a los cuales enviaremos muestra del mismo para que añadan su control en sus próximas versiones de los mismos.


Para otro tipo de ransomwares que no sean el Cryptolocker, tras pulsar el botón de STOP y separar el ordenador infectado de la Red, puede procederse a lanzar nuestra utilidad SPROCES.EXE y pulsar SALIR, se indicará que ha creado el fichero C:\SPROCLOG.TXT , el cual puede ser enviado a virus@satinfo.es para ser analizado y poder indicar como proceder en consecuencia (añadiendo .VIR al fichero malicioso que indiquemos y enviándonos el fichero solicitado para ser controlado).

 

Otro aspecto importante es que la aplicación ahora es multi-proceso, por lo que, si un malware lanza 10 procesos diferentes, la aplicación será capaz de detectar y bloquear temporalmente estos 10 y además contar con otro para seguir protegiendo nuestro sistema.

 

SATINFOSERVICIO DE ASISTENCIA TÉCNICA INFORMÁTICA 23 de Junio de 2016




17 de Junio de 2016

Adobe Flash Player es uno de los elementos más inseguros y vulnerables de la informática moderna. A pesar de los intentos de las grandes compañías, incluso de su padre, Adobe, por acabar con él, este complemento sigue formando parte de un gran número de webs y plataformas online, por lo que la compañía debe seguir controlando su actividad y, en caso de detectar un fallo de seguridad, solucionarlo lo antes posible para no exponer a sus usuarios ante los piratas informáticos.

De todas las vulnerabilidades que pueden aparecer en un software, probablemente las más peligrosas son las del tipo 0-day, o día cero. Estos fallos se llaman así porque, hasta el momento de su descubrimiento eran totalmente desconocidos por la compañía, lo que da comienzo a una cuenta atrás para lanzar el parche de seguridad lo antes posible y, si puede ser, antes de que los piratas informáticos programen un exploit para aprovecharse de este fallo de seguridad.

Hace dos días advertimos de un fallo de seguridad 0-day en todas las versiones de Adobe Flash Player para todos los sistemas operativos que, además, estaba siendo ya explotada por varios grupos de piratas informáticos y para la que la compañía no tenía un parche. Esta vulnerabilidad recibió el identificador CVE-2016-4171 y permitía a cualquier atacante conseguir permisos globales sobre el sistema operativo y ejecutar sobre él código malicioso.

La actualización de Adobe Flash Player llega dos días después del exploit

Más vale tarde que nunca, y, tras dos días en los que los usuarios de Flash han quedado expuestos ante cualquier ataque informático por parte de los piratas informáticos, finalmente la compañía ha liberado un parche de seguridad que soluciona esta complicada vulnerabilidad. Junto a esta vulnerabilidad, Adobe ha lanzado un segundo parche para Flash en la que soluciona, de paso, otra serie de vulnerabilidad (no explotadas por piratas informáticos, de momento) que también permitían la ejecución de código remoto arbitrario.

Aunque los objetivos de estos piratas informáticos no eran usuarios domésticos, sino que sus objetivos eran principalmente empresas y organizaciones, la compañía pide a todos los usuarios que instalen ambos parches de seguridad para evitar que esta vulnerabilidad siga siendo explotada y que, tras hacer ingeniería inversa al segundo de los parches, los piratas informáticos aprovechen las vulnerabilidades solucionadas en este segundo parche para llevar a cabo sus actividades maliciosas.

La nueva versión que soluciona tanto CVE-2016-4171 como otras 35 vulnerabilidades es la nueva 22.0.0.192. Aunque si ya tenemos Flash instalado nos aparecerá una ventana desde la que nos pedirá descargar esta nueva versión con los parches, también podemos descargarla e instalarla manualmente desde su página web principal. Además, en breve Microsoft y Google liberarán también las correspondientes actualizaciones para sus extensiones propias de Flash.

¿Has instalado ya la nueva versión de Adobe Flash Player que soluciona la vulnerabilidad 0-day CVE-2016-4171?



10 de Junio de 2016

HP anuncia la regionalización de los cartuchos de Tóner LaserJet 


Como probablemente ya sabrá, HP sigue invirtiendo en la protección de los Distribuidores de Canal, de los clientes y de la marca HP impulsando acciones contra el mercado no original, que es una actividad ilícita que supone una reducción de los negocios legítimos de los Distribuidores y que puede provocar la pérdida de confianza de los clientes en la autenticidad y fiabilidad de los productos. Recientemente, HP ha comenzado la regionalización de los cartuchos de tóner LaserJet. Con esta iniciativa HP espera que los cartuchos de tóner disponibles para venta en el mercado no original se vean significativamente reducidos. La regionalización es una práctica habitual en la industria para proteger a distribuidores y clientes frente a las prácticas de mercado no original que pueden impactar negativamente sus operaciones.

Los nuevos cartuchos regionalizados sólo funcionarán en impresoras que estén regionalizadas para la misma zona.

En las cajas de los nuevos cartuchos de HP figurarán nuevos mensajes que alertarán a los clientes y a los distribuidores de la zona regional para la cual se ha fabricado el producto.

Por ese motivo aconsejamos que realice sus compras de tóner original HP. Ahorrará en tiempo, dinero y disgustos.





31 de Mayo de 2016 

 

Un virus que está causando estragos, el virus ENDESA.


Se está recibiendo masivamente una falsa factura de ENDESA que ofrece un enlace que descarga un ZIP que contiene un JS y este instala y ejecuta un EXE con el ransomware CRYPTOLOCKER

Es similar al que hemos sufrido hasta ahora con el falso mail de CORREOS, y que a tantos usuarios ha afectado, ahora nos tememos que será mas de lo mismo, a pesar de este aviso y de que hasta ENDESA está avisando al respecto.

El mail que se recibe es del siguiente tipo:


Al pulsar en la descarga, nos ofrece guardar la falsa factura (ENDESA_FACTURA.zip) en formato zip:


Este fichero zip lleva un JS que descarga y ejecuta el Cryptolocker

Es muy importante NO PULSAR EN SUS ENLACES para evitar instalar dicha variante del CRYPTOLOCKER

Desde el ELISTARA 34.65 de ayer ya controlamos variantes de este Cryptolocker, si bien vemos que están cambiando continuamente su código y que nuevas variantes habrán de ir siendo controladas a medida que las vayamos conociendo.

MUCHO CUIDADO YA QUE NOS TEMEMOS PROVOQUE LA INFECCION Y CIFRADO DE MUCHOS ORDENADORES A PESAR DE QUE VAYAMOS CONTROLANDO LOS QUE VAYAN APARECIENDO.

Ofrecemos informe del preanálisis de VIRUSTOTAL sobre una de las muestras actuales de dicho Cryptolocker de “ENDESA”

MD5 ec11c3a1be57b62e7fbede4b01b79836
SHA1 86e4d0d1f3e789ebed5f224dfa553c39e6c1243d
Tamaño del fichero 353.7 KB ( 362189 bytes )

SHA256: 3838e4d078bc3d1c9dcb436d03109c1c6f385ff0d8edf03634e42cc08255636c
Nombre: ikazykab.exe
Detecciones: 4 / 57
Fecha de análisis: 2016-05-31 08:12:47 UTC ( hace 3 minutos )

Antivirus Resultado Actualización
Baidu Win32.Trojan.WisdomEyes.151026.9950.9994 20160530
Kaspersky UDS:DangerousObject.Multi.Generic 20160531
McAfee-GW-Edition BehavesLike.Win32.Dropper.fc 20160530
Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20160531

Como se ve actualmente lo controlan muy pocos antivirus, solo 4 de los 57 de virustotal, debido a la novedad del mismo y a los continuos cambios de las variantes que van implementando en el servidor desde donde descargan el ZIP con el JS que instala el EXE con el CRYPTOLOCKER

Es importante recordar que, de sufrir el ataque de esta familia del CRYPTOLOCKER, cifra los ficheros de datos de las unidades compartidas, y que el virus queda en el ordenador donde se ha ejecutado el enlace contenido en el dichoso mail, queda infectado lanzando otra vez el virus cuando se reinicia, por lo que ANTES DE RESTAURAR LAS COPIAS DE SEGURIDAD debe eliminarse el virus del ordenador infectado.

Para ello probar la última versión de ELISTARA disponible en el ordenador infectado, y si no lo detecta, lanzar el SPROCES y pulsar el botón SALIR, lo cual generara un informe en C:\SPROCLOG.TXT que podrán enviarnos indicando que han sufrido dicho ataque, para que busquemos el fichero causante y su clave de lanzamiento, para pedir que nos lo envíen como muestra a analizar, además de aparcarlo añadiendo .VIR a su extensión.

Ya con el ELISTARA 34.65 de ayer empezamos a controlar las primeras variantes, por lo que aconsejamos probarlo, mientras no se disponga de una versión superior.

El nuevo ELISTARA 34.66 de hoy, estará disponible a partir de las 18 h CEST, en el que incluiremos el control de todas las variantes que recibamos durante el día.

Aconsejamos que lean el siguiente artículo sobre los Ransomwares:




6 de Mayo de 2016


McAffe, advierte del peligro de virus que encripten la información, es importante estar con el S.O. actualizado, protegidos con una antivirus y sobre todo no abrir correos cuyo origen desconozcamos.

 

Como ya indicamos en nuestro blog la información de esta nueva gama de TESLACRYPT 4.2, oculta parte del método de infección, que, tras haber eliminado lo visible y conocido de los TESLACRYPT, puede regenerarse volviendo a aparecer los ficheros informativos que instala en todas las carpetas donde cifra ficheros, incluido el escritorio.

Los ficheros que lo delatan son los siguientes:

!RecoveR!-zxryc++.TXT
!RecoveR!-zxryc++.PNG
!RecoveR!-zxryc++.HTML

En los cuales se pueden ver las instrucciones para el pago del rescate, que en esta versión son mucho mas escuetas y que también se visualizan en el Inicio, mostrando una pantalla similar a:

!RecoveR!-zxryc++

y que nuestra utilidad ELISTARA ya elimina de la carpeta de INICIO de todos los usuarios y de All Users, dejando los existentes en las carpetas en las que el ransomware haya cifrado archivos para que el usuario sepa donde ha actuado, ya que no cambia ni el nombre del fichero ni la extensión del mismo, y además dichos ficheros son inocuos y por si alguien quiere informarse sobre el pago del rescate, (que no aconsejamos), allí estarán hasta que se borren

Si tras pasar la utilidad ELISTARA, detectar y eliminar todo lo relativo a la infección (se verá la detección y eliminación en el informe creado por dicha utilidad, en C:\infosat.txt), al reiniciar el sistema volviera a aparecer alguna de estas pantallas o ficheros relativos al dichoso TESLACRYPT, antes de restaurar los ficheros de la copia de seguridad, conviene eliminar los posibles restos de los métodos aun desconocidos que puedan usar estas nuevas variantes, por lo que si es el caso, se podrá utilizar nuestro LIVECD que contiene arranque en LINUX (con lo cual se prescinde de la mayoría de posibles trucos que puedan ocultar rootkits y similares, como código malicioso en el MBR, BOOT, claves de registro, ficheros ocultos por ROOTKITS, etc) y tras ello, lanzar una actualización del antivirus para LINUX que contiene dicho LIVECD (pulsando en el botón al efecto) y, con conexión a Internet, lanzar un escaneo bajo demanda con el VIRUSSCAN para LINUX, el cual está configurado con la opción de análisis heurístico activado y así detectar las posibles variantes de este u otros engendros, aun solo detectados heuristicamente, por mas escondidos que estén, como es el caso de esta variante 4.2, según informe del preanalisis de virustotal:

detección actual ransomware TESLACRYPT 4.2 :

McAfee

Artemis!E562102F07C3

20160504

Una vez eliminado totalmente el malware en cuestión, se pueden restaurar las copias de seguridad, sin posibilidad de que exista ningún decodificador para ello, por estar cifrados con RSA4096, algoritmo asimétrico de máximo cifrado, que solo el hacker pueden descifrar!

Lamentablemente van “mejorando” los ransomwares, llegando a un punto que solo la educación de los usuarios, haciendo caso a las indicaciones que tantas veces hemos repetido, e instalando siempre las últimas versiones de las aplicaciones que usan, especialmente las de JAVA, Adobe, Navegadores, etc, y siempre con los últimos parches que van apareciendo, así como la activación de la heuristica a nivel MUY ALTO.




31 de Marzo de 2016


Amparados en el logotipo de CORREOS, más de un usuario se está llevando un buen susto. McAffe advierte de  los peligros respecto a este CRYPTOLOCKER.

 

Ya como antaño, se esta recibiendo un falso mail de Correos avisando de una carta certificada, con dos enlaces, el primero para DESCARGAR INFORMACION SOBRE SU ENVIO , que lleva a :


http://penobeton03.ru/xxxxxx…

y el ultimo que indica HAGA CLICK AQUI con otro enlace al mismo sitio…

http://penobeton03.ru/xxxxxx…

Como se ve es una URL de Rusia, la cual accede a una pagina phishing que pide entrada de un CAPTCHA, que, si se siguen sus instrucciones, se descarga y ejecuta una nueva variante del temible CRYPTOLOCKER TORRENT, cifrando los ficheros de datos con RSA 2048 y añadiendo .encryptyed a los ficheros cifrados

El mail recibido, viene con asunto:

carta certificada no entregado a usted

y muestra el siguiente texto:


Hemos recibido varios que pasamos a controlar a partir del ELISTARA 34.23 ya disponible en nuestra web

Los clientes que hayan recibido y ejecutado dicho mail y sufrido sus consecuencias, pueden probar si el ELISTARA ya lo conoce, en caso contrario, lanzar el SPROCES, pulsar en SALIR y enviarnos el fichero informe que generara en C:\sproclog.txt, indicándonos el percance que han sufrido.

No olvidar indicar dar el número de contrato licencia para ser atendidos por soporte técnico.

Acto seguido les indicaremos el fichero ransomware para que puedan aparcarlo, añadiendo .VIR a su extensión y enviárnoslo para controlar en la siguiente versión del ELISTARA

Los ficheros cifrados cabe intentarlos recuperar con la versión anterior guardada por el ShadowCopy


Regreso al contenido | Regreso al menu principal