Cryptolocker 2.0 es un código malicioso que encripta archivos y pide un rescate para descrifrarlos. Esta amenaza «incluye en su lista de objetivos extensiones de archivo como .mp3, .mp4, .jpg, .png, .avi, .mpg, entre otras”, según aseguró Róbert Lipovský, Malware Researcher de la empresa. Análisis y consejos.
Ante el incremento de este tipo de amenazas, la firma elaboró una lista de tips para evitar expuestos de seguridad:
Mostrar las extensiones de archivo ocultas, ya que por defecto Windows oculta las extensiones de archivo conocidas. Aprovechándose de eso, una de las formas en las que se propaga Cryptolocker es a través de archivos con la extensión .PDF o .EXE. Activando la posibilidad de ver la extensión completa de un archivo, puede ser más fácil detectar cuándo se trata de alguno sospechoso.
Filtrar los archivos .EXE en el mail, dado que si el gateway del correo tiene la posibilidad de filtrar archivos por extensiones, se puede optar por denegar aquellos que se envíen con esta extensión o por denegar mails que contengan dos extensiones, siendo la última ejecutable. Una alternativa sería reemplazar los ejecutables con archivos ZIP protegidos con contraseña, o a través de servicios en la nube.
Desconectarse de Internet: en caso de ejecutar un archivo que se sospecha puede ser ransomware, si todavía no apareció la típica pantalla de bloqueo pidiendo el rescate y si se actúa con rapidez, es posible detener la comunicación con el Centro de Comando y Control antes de que el malware termine de cifrar los archivos. Si se desconecta el equipo de la red de forma inmediata, es posible mitigar el impacto del ransomware.
Deshabilitar cualquier usuario por defecto que no esté en uso dentro del sistema.
Proteger las configuraciones de los productos de seguridad con contraseñas fuertes. De existir esta protección, sería más complejo para la infección ejecutarse exitosamente.
Realizar auditorías de seguridad de manera regular dentro de la red para evaluar los riesgos y la seguridad de los equipos accesibles desde Internet.
Por otra parte, Lipovský remarcó «la importancia de tener un backup de los datos adecuado, ya que es la única manera de combatir el ransomware. Y por supuesto, recomendamos a los usuarios que actualicen sus soluciones de seguridad y las protejan con contraseñas fuertes».
El funcionamiento de la nueva familia de malware detectada por ESET es el siguiente: después de la infección, escanea la estructura de carpetas de la víctima en busca de archivos que coincidan con un conjunto de extensiones; luego se los cifra y se muestra una ventana de mensaje que exige un rescate para descifrarlos.
En septiembre, el Equipo de Laboratorio de ESET había detectado a Cryptolocker, un código malicioso con un funcionamiento similar pero que presenta diferencias en las implementaciones y en el lenguaje de programación utilizado con respecto a este nuevo ransomware.
Este tipo de amenazas se está consolidando en América Latina y ya existen varios usuarios afectados en la región. Entre ellos se destaca Multi Locker, y México como el país más afectado por este tipo de malware. Nymaim es otro código malicioso que afecta a dicho país y que solicita una suma de dinero que asciende a los US150 aproximadamente por el rescate del equipo.
Más información
http://blogs.eset-la.com/laboratorio/2013/12/20/cryptolocker-2-0-nueva-version/
