Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
23 de Abril, 2015    General

Campaña infecta con #Ransomware #CTBlocker

Hace dos días que están llegando correos malspam (spam maliciosos) durante horario laboral a las direcciones de los empleados de varias organizaciones. Esta es una campaña de ataque orientada a propagar distintas muestras del troyano tipo ransomware CTBLocker.

Algo que hace impracticable un ajuste sencillo del filtrado spam es que todos los correos son distintos. Tanto remitente, asunto, cuerpo, servidor de origen y el archivo adjunto malicioso.
Todos los MalSpam de la campaña son distintos
Los archivos adjuntos que traen estos correos también tienen todos distinto nombre.
Cada adjunto con distinto nombre
Estos archivos se caracterizan por ser siempre un ZIP que dentro contiene un archivo CAB que a su vez contiene un archivo ejecutable SCR. En definitiva es este último el cual es la carga maliciosa. Parecería tratarse en principio de un Downloader o Troyano.
Detalle de un malspam, su adjunto y baja detección VirusTotal.com
Como sucede con campañas de ataque bien preparadas, estos archivos no son prácticamente detectados por ningún antivirus, o apenas muy pocos. Solo después de un día quizás lo detectan un poco más del 30% de los AV. Al menos dentro de lo que se puede analizar en VirusTotal.

No fue hasta después de completada la jornada de ayer que una mayor cantidad de detecciones sobre las primeras muestras indicaron que podría tratarse de un Downloader que descarga Ransomware en particular quizás una variante de CTBlocker según se deduce por las detecciones de algunos pocos antivirus que así lo clasifican (McAfee, Panda, ViRobot) en distintas muestras enviadas. Luego de la infección, este troyano cifra todos los archivos de datos del disco, sin posibilidad de recuperación.

También en España dan cuenta que la campaña de malspam trae un downloader que descarga CTBlocker tal como comentan aquí y aquí.

Medidas de prevención

  • Bloquear ingreso de adjuntos ejecutables: en las organizaciones recomendamos el bloqueo de adjuntos ejecutable. Si bien esto puede no se factible es una muy buena prevención general realizada en el gateway de correo o servidor antispam. De tal forma se previene el ingreso de cualquier adjunto malicioso.
  • Mantener respaldos actualizados y fuera de línea: no solo para esta amenaza es necesario mantener respaldo/backup de todos los archivos de trabajo. Y en particular para estas amenazas que dichos respaldos no estén en linea permanentemente sino solo cuando se realizan.
  • Aconsejar a usuarios prácticas seguras: trabajar activamente con los usuarios recomendando no abrir ni descargar adjuntos o enlaces en correos, tanto sea de la organización como en el correo personal vía web.
  • Mantener actualizado el antivirus y advertir sobre la escasa efectividad que tiene para la detección temprana de variantes nuevas de malware y por ello la necesidad de la colaboración activa de cada usuario.
Y para remediaciones se pueden ver todo lo recomendado en nuestras guías:
Raúl de la Redacción de Segu-Info

Palabras claves , , ,
publicado por alonsoclaudio a las 22:39 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Junio 2017 Ver mes siguiente
DOLUMAMIJUVISA
123
45678910
11121314151617
18192021222324
252627282930
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo liberar software – guía para principiantes :)
1 Comentario: seo plugin
» Cómo descargar música desde Goear
2 Comentarios: seo plugin, Juanjo
» Cómo espiar WhatsApp
10 Comentarios: Hacktivist, Bayford., carlos quiros, [...] ...
» Analizando el LiveBox 2.1 de Orange
1 Comentario: brahim
» Software libre para punto de venta
2 Comentarios: JOSE, Esc00
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad