06 Mar 2017

Empresas en Ferrol afectadas por virus Cryptolocker

Escrito por Pablo R.S.
Noticias
Cryptolocker

El día de ayer apareció una noticia en La Voz de Galicia de varias empresas de Ferrolterra que se han visto afectadas por el virus Cryptolocker, que sabéis que ya hemos comentado en varias ocasiones (podéis ver el artículo original aquí Nuevo virus de servidor que encripta los datos).

 Como sabéis este tipo de virus encripta todos los ficheros importantes del ordenador infectado: archivos PDF, imágenes, bases de datos, copias de seguridad, documentos de office (word, excel, powerpoint...)... dejándolos inaccesibles. Al mismo tiempo dejan en cada una de las carpetas infectadas del ordenador, algún fichero con las instrucciones para desencriptarlo que se puede llamar:

  • HOW_TO_DECRYPT_FILES
  • COMO_RESTAURAR_ARCHIVOS
  • decrypt
  • ...

En dicho fichero, que suele tener una forma de este estilo:

===============================================================================
!!! nos cifrar sus archivos con Crypt0L0cker !!!
===============================================================================

Los archivos más importantes (incluidos los de los discos de red, USB, etc):
fotos, vídeos, documentos, etc. se cifran con nuestro virus Crypt0L0cker. La
única manera de restaurar los archivos es pagarnos. De lo contrario, se
perderán los archivos.

Para recuperar los archivos que tiene que pagar.

Con el fin de restaurar los archivos se abren nuestra página web
http://x5sbb5gesp6kzwsh.questpul.pl/cyglsij.php?user_code=3cxotui&user_pass=XXXX
y siga las instrucciones.

Si la página web no está disponible por favor, siga estos pasos:
1. Descargar e instalar TOR-navegador desde este enlace: https://www.torproject.org/download/download-easy.html.en
2. Después de la instalación ejecutar el navegador y escriba la dirección: http://xiodc6dmizahhijj.onion/cyglsij.php?user_code=3cxotui&user_pass=XXXXXX
3. Siga las instrucciones en la página web.

===============================================================================

En dicho fichero nos informan de que la única solución para recuperar los archivos es pasar por caja y pagar el rescate correspondiente. En algunos incluso nos dan un tiempo para pagar dicho rescate, antes de que el importe para recuperar los archivos sea incluso más alto.

mensaje bitcoins

Una vez en esta tesitura, tenemos dos posibilidades, que sea un tipo de ransomware conocido, para el que podamos crear una herramienta para desencriptar el virus o que sea una variante todavía desconocida para la que no exista cura.

Las últimas variantes, para las que no exista herramienta, son a título práctico imposibles de desencriptar por fuerza bruta (utilizan en mucho casos niveles de encriptación militar), así que la única solución pasa poder realizar una análisis previo de la empresa y establecer una batería de medidas preventivas para evitar en la medida de lo posible este tipo de infecciones, y en caso de producirse, poder restablecer el servicio de la manera más rápida posible y evitando la pérdida de información.

Un sistema correcto de copia de seguridad es un requisito indispensable para evitar perder datos por esta u otras infecciones/ataques a nuestros sistemas.

En caso de no disponer de este tipo de medidas, la única solución, pese a estar totalmente desaconsejada, pasa por pagar el rescate... en cuyo caso también os podemos asesorar tanto para la compra como para el pago a través de bitcoins, y de esta forma, intentar recuperar el acceso a nuestros archivos.

Es importante, antes de realizar ninguna acción, consultar con un profesional los pasos a seguir ya que en caso de operar de forma incorrecta con nuestro equipo corremos el riesgo de perder nuestros datos de manera irreversible. 

Para estudiar si la infección es recuperable, necesitaremos varios archivos que hayan sido encriptados (entre 3 y 5), y el mensaje que almacena el virus con las instrucciones del rescate (el archivo .txt o .html). De esta manera podremos identificar la infección e intentar crear una herramienta de recuperación para dicho virus. 

Si deseas ampliar información al respecto, como en 2KSystems podemos ayudarte para evitar este y otros problemas, no dudes en ponerte en contacto con nosotros. Estaremos encantados de asesorarte.

Escribir un comentario


Código de seguridad
Refescar

Escrito por

Pablo Rivera

Pablo Rivera

Director Técnico