Alerta de circulación por la red nacional del programa maligno win32.onion

Alerta de circulación por la red nacional del programa maligno win32.onion

 

 

523-597x230

Win32.Onion (alias Trojan-Ransom.Win32.Onion) es una nueva versión de programa maligno internacional conocido como CBT-Locker. Este troyano es del tipo “ransomware” que encripta ficheros en la PC infestada y en los recursos compartidos donde se tenga acceso de escritura, y para desencriptar dichos ficheros pide un rescate al usuario afectado.

La vía de infección primaria es a través de mensajes de Correos no deseados (Spam) con un adjunto que dice ser un fax o un formulario con extensión .scr. Los adjuntos pueden tener como nombre palabras de diccionario aleatorias y para evitar los filtros de los servidores de mensajería es un archivo compactado zip dentro de otro con un fichero .scr dentro.

En las  últimas variantes detectadas de este tipo de mensajes el fichero adjunto puede tener como nombre la dirección de correo del receptor del mensaje, haciéndolo más amigable al usuario y provocando la ejecución del mismo.

En el momento de la infección el programa escanea la computadora en busca de ficheros de datos y los encripta con una clave, haciéndolos inaccesibles para el usuario.Entre los ficheros encriptados están los de office, bases de datos, imágenes, certificados digitales, ficheros comprimidos, etc.
Formas proactivas de evitar la infección:
Evitar abrir ficheros adjuntos a mensajes recibidos por correo electrónico sin previo aviso, de procedencia dudosa o de remitentes desconocidos.

Habilitar las funcionalidades de filtrado de extensiones posiblemente maliciosas en los filtros de seguridad de los servidores de correos.

Ejemplo bloquear archivos con extensiones scr, exe, com, pif, entre otras de ficheros ejecutables .

− Realizar frecuentemente copias de seguridad de los datos.
− No compartir archivos con permiso de escritura de manera permanente
− Mantener actualizadas las soluciones antivirus.
Segurmática Antivirus detecta de manera genérica las últimas variantes de este programa maligno. Sin embargo por la naturaleza polimórfica y la constante evolución de este malware que le permite cambiar para cada infección, se recomienda mantener una estricta vigilancia del mismo y reforzar las medidas de seguridad anteriormente recomendadas.

Fuente:

Equipo de Respuesta a Incidentes Computacionales de Cuba

OSRI

Datos Adicionales:

La mejor estrategia de #defensa contra cualquier #ransomware es tener una copia de seguridad de tu ordenador desde ya.

NUEVAS VARIANTES DE RANSOMWARE CTB-LOCKER que llegan por mail e infectan diferente cada vez

604-597x230

Tanto por ser ejecutado en diferente ordenador, como con diferente sistema, como en el mismo ordenador e igual sistema pero en ocasiones sucesivas, el dichoso CRB-LOCKER cvrea diferente infector que codifica con diferente clave los ficheros de datos, toda una joya !

Si bien recordamos que las estaciones de trabajo de los sistemas actuales de Windows posterior al XP (Vista, W7 y W8) existe la posibilidad de recuperar los ficheros cifrados en base a la copia automatica que hace el Shadow Copy de estos Windows, a la cual se accede en PROPIEDADES -> RESTARURAR VERSION ANTERIOR , de cada uno de dichos ficheros (o con el SHADOW EXPLORER por carpetas, mas comodo) en los servidores dicha funcion, aunque disponible, está desactivada, lo ideal es disponer de COPIA DE SEGURIDAD ACTUALIZADA de los ficheros, para evitar los graves transtornos provocados por estos ataques.

Aunque en el ELISTARA de hoy incluiremos el control y eliminacion de las nuevas variantes que nos vayan llegando, vemos que las combinaciones de nuevas variantes son innumerables, por lo cual recomendamos utilizar la heuristica avanzada del VirusScan de McAfee a nivel MUY ALTO. para poder evitar la entrada y ejecución de estos malwares, aparte de otros similares ya conocidos (Cryptolocker, Cryptorbit, Cryptorwall, Cryptordefense, etc…)

Nuevas variantes que se han instalado por la descarga de un mismo fichero recibido en un mail, tras la ejecución de un .SCR reempaquetado en ZIP’s, subidos al virustotal, ofrecen estos dos informes:

MD5 4ebd076047a04290f23f02d6ecd16fee
SHA1 81f68349b12f22beb8d4cf50ea54d854eaa39c89
Tamaño del fichero 690.0 KB ( 706560 bytes )
SHA256: 9fa13724e14c6acef19fdad6abc41b0c5e4a9c6328c003d2e79e1e3e5f5c253e
Nombre: qpqpkub(1).exe
Detecciones: 27 / 57
Fecha de análisis: 2015-01-20 10:32:52 UTC ( hace 0 minutos )
0 4
Antivirus Resultado Actualización
AVware Win32.Malware!Drop 20150120
Ad-Aware Trojan.GenericKD.2092743 20150120
Avast Win32:Malware-gen 20150120
Avira TR/CTBLocker.A.10 20150120
Baidu-International Trojan.Win32.Filecoder.bDA 20150120
BitDefender Trojan.GenericKD.2092743 20150120
DrWeb Trojan.Siggen6.28826 20150120
ESET-NOD32 Win32/Filecoder.DA 20150120
Emsisoft Trojan.GenericKD.2092743 (B) 20150120
F-Secure Trojan.GenericKD.2092743 20150120
GData Trojan.GenericKD.2092743 20150120
Ikarus Trojan.Win32.Filecoder 20150120
K7AntiVirus Trojan ( 0049d83b1 ) 20150120
K7GW Trojan ( 0049d83b1 ) 20150120
Kaspersky Trojan.Win32.Vimditator.gla 20150120
McAfee Ransom-O 20150120
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jc 20150120
Microsoft Ransom:Win32/Critroni.A 20150120
Norman Dalexis.L 20150120
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20150120
Sophos Mal/EncPk-AMN 20150120
Symantec Trojan.Cryptolocker.E 20150120
Tencent Win32.Trojan.Bp-generic.Wpav 20150120
TrendMicro TROJ_CRYPTCTB.APU 20150120
TrendMicro-HouseCall TROJ_CRYPTCTB.APU 20150120
VIPRE Win32.Malware!Drop 20150120
ViRobot Trojan.Win32.S.Ransom.706560[h] 20150120
y el mismo fichero SCR al ejecutarlo de nuevo:
MD5 789b5189c029697c993071aeba3cbc58
SHA1 dec9fc3c14242565188511cf85c474521eb0950b
Tamaño del fichero 688.5 KB ( 705024 bytes )
SHA256: 6940031f8124e36d61a1d09688876b0e54cbfe5b431ded54a8936c6d21d51a5c
Nombre: qpqpkub(2).exe
Detecciones: 26 / 56
Fecha de análisis: 2015-01-20 11:29:48 UTC ( hace 1 minuto )
0 4
Antivirus Resultado Actualización
ALYac Trojan.Ransom.CTBLocker 20150120
Ad-Aware Trojan.GenericKD.2093335 20150120
Avast Win32:Malware-gen 20150120
Avira TR/CTBLocker.A.11 20150120
Baidu-International Trojan.Win32.Filecoder.BDA 20150120
BitDefender Trojan.GenericKD.2093335 20150120
DrWeb Trojan.Encoder.686 20150120
ESET-NOD32 Win32/Filecoder.DA 20150120
Emsisoft Trojan.GenericKD.2093335 (B) 20150120
F-Secure Trojan.GenericKD.2093335 20150120
GData Trojan.GenericKD.2093335 20150120
Ikarus Trojan.Win32.Filecoder 20150120
K7AntiVirus Trojan ( 0049d83b1 ) 20150120
K7GW Trojan ( 0049d83b1 ) 20150120
Kaspersky Trojan-Ransom.Win32.Onion.w 20150120
Kingsoft Win32.Troj.Advert.ac.(kcloud) 20150120
McAfee Ransom-O 20150120
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jc 20150120
Microsoft Ransom:Win32/Critroni.A 20150120
Qihoo-360 Trojan.Generic 20150120
Sophos Mal/EncPk-AND 20150120
Symantec Trojan.Cryptolocker 20150120
Tencent Win32.Trojan.Bp-generic.Wpav 20150120
TrendMicro TROJ_CRYPCTB.YNU 20150120
TrendMicro-HouseCall TROJ_CRYPCTB.YNU 20150120
ViRobot Trojan.Win32.S.Ransom.705024[h] 20150120

A partir del ELISTARA 31.46 de hoy, pasaremos a controlar estas y las demas variantes que nos lleguen al respecto, si bien sugerimos que se arranque en MDOO SEGURO CON FUNCIONES DE RED (en cuyo modo no se carga dicho virus) y con la heuristica configurada a NIVEL MUY ALTO, se lance el VirusScan de McAfee para eliminarlo, y tras ello poder proceder a restaurar los ficheros desde el Shadow Copy o de la copia de seguridad pertinente.

Y si el ELISTARA encontrara, en el fondo de escritorio, texto relativo al virus, dicha utilidad lo anularía, pudiendo requerir configurarlo de nuevo escogiendo el preferido, desde BOton derecho en el Escritorio -> Propiedades -> Escritorio -> Escoger fondo -> Aplicar y Aceptar.

Agradecemos la colaboracion de usuarios infectados, enviandonos muestras de los mismos, asi como de McAfee Avert Labs por la rapidez en analizar las muestras enviadas y pasar a controlarlas para que utilizando el VirusScan con la heuristica avanzada a NIVEL MUY ALTO, poder controlar las nuevas variantes al respecto.
Confiamos que lo indicado sirva para minimizar los daños por dicha infección !
saludos

NOTA:

SE RECUERDA UNA VEZ MAS:

“no deben ejecutarse ficheros anexados a mails no solicitados, ni pulsar en sus links ni en imagenes de los mismos, y NUNCA rellenar datos particulares que se pidan por e-mail, especialmente contraseñas de correo o de cuentas bancarias.”

Y mantener al día y fuera del acceso compartido, una copia de seguridad incremental de los datos.

http://www.di.sld.cu/?p=7301

ALERTA DE SEGURIDAD POR PROPAGACIÓN DEL SOFTWARE MALICIOSO CBT-Locker

El software malicioso CBT-Locker cuenta con una nueva variante de propagación que se encarga de restringir el acceso a determinadas partes o archivos de un sistema infestado mediante el cifrado, y pide un rescate a cambio de quitar esa restricción.

Los correos llegan con ficheros maliciosos anexados que contienen variantes de este software y que al infestarse la computadora, ocasiona la pérdida de toda la información existente en la misma.

Dada la aturaleza polimórfica de este programa malicioso, es díficil la identificación por los antivirus pues cambia constantemente en su comportamiento para evadir la detección. Además, es casi impracticable el filtrado antispam debido a que todos los correos son distintos en cuanto a remitente, asunto, cuerpo, servidor de origen y adjunto.

Todos llegan como adjuntos de correos electrónicos comprimidos con un archivo .ZIP que contiene un fichero .CAB, que a su vez descomprime un ejecutable con extensión .SCR que es el que infesta la PC donde se ejecuta.

Medidas de prevención:

  • Aconsejar a los usuarios prácticas seguras, tales como no abrir ni descargar adjuntos o enlaces que no proceden de fuentes seguras y confiables.
  • Mantener actualizado el antivirus y advertir sobre la escasa efectividad que tiene para la detección temprana de las variantes nuevas del malware y por ello la necesidad de la colaboración activa de cada usuario.
  • Mantener respaldos actualizados en soportes fuera de línea de todos los archivos de trabajo, aplicaciones, etc.
  • /Alerta de seguridad informática por propagación del software malicioso CBT-Locker

http://www.cucert.cu/index.php/noticias/1732-alerta-de-seguridad-informatica-por-propagacion-del-software-malicioso-cbt-locker

This entry was posted in Sin categoría. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment or leave a trackback.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Your email address will never be published.