Algo que hace impracticable un ajuste sencillo del filtrado spam es que todos los correos son distintos. Tanto remitente, asunto, cuerpo, servidor de origen y el archivo adjunto malicioso.
 |
| Todos los MalSpam de la campaña son distintos |
 | |
| Cada adjunto con distinto nombre |
 |
| Detalle de un malspam, su adjunto y baja detección VirusTotal.com |
No fue hasta después de completada la jornada de ayer que una mayor cantidad de detecciones sobre las primeras muestras indicaron que podría tratarse de un Downloader que descarga Ransomware en particular quizás una variante de CTBlocker según se deduce por las detecciones de algunos pocos antivirus que así lo clasifican (McAfee, Panda, ViRobot) en distintas muestras enviadas. Luego de la infección, este troyano cifra todos los archivos de datos del disco, sin posibilidad de recuperación.
También en España dan cuenta que la campaña de malspam trae un downloader que descarga CTBlocker tal como comentan aquí y aquí.
Medidas de prevención
- Bloquear ingreso de adjuntos ejecutables: en las organizaciones recomendamos el bloqueo de adjuntos ejecutable. Si bien esto puede no se factible es una muy buena prevención general realizada en el gateway de correo o servidor antispam. De tal forma se previene el ingreso de cualquier adjunto malicioso.
- Mantener respaldos actualizados y fuera de línea: no solo para esta amenaza es necesario mantener respaldo/backup de todos los archivos de trabajo. Y en particular para estas amenazas que dichos respaldos no estén en linea permanentemente sino solo cuando se realizan.
- Aconsejar a usuarios prácticas seguras: trabajar activamente con los usuarios recomendando no abrir ni descargar adjuntos o enlaces en correos, tanto sea de la organización como en el correo personal vía web.
- Mantener actualizado el antivirus y advertir sobre la escasa efectividad que tiene para la detección temprana de variantes nuevas de malware y por ello la necesidad de la colaboración activa de cada usuario.
