REFUGEES WELCOME TO CATALONIA: A PRACTICAL GUIDE

jueves, 25 de febrero de 2016

Cryptolocker: una de les principals amenaces a la xarxa per al ciutadà i empreses


CryptoLocker és una variant de tipus RANSOMWARE, un tipus de codi maliciós dirigit a ordinadors amb el sistema operatiu Windows. El CryptoLocker es distribueix de diverses formes, la més habitual és com a arxiu adjunt d'un correu electrònic.
Encara que aquest tipus de codi maliciós no és nou, recentment ha gaudit d'un augment molt important tant en el nombre de variants com en la quantitat d'usuaris afectats.
Actualment és una de les principals amenaces a la xarxa per al ciutadà i les empreses, i els estudis de tendències indiquen que anirà agafant més importància en un futur pròxim. La infecció per aquest tipus de codi maliciós va per onades temporals, es tracta d’una variant molt sofisticada que canvia molt ràpidament en el temps i és molt efectiva. El que indica que hi ha un negoci molt lucratiu darrera.
COM DETECTO QUE M’HA AFECTAT?
a) Mostra una pantalla de bloqueig vermella amb un escut a la banda esquerra i el missatge 'Your personal files are encrypted!'. Mostra un comptador amb el suposat temps disponible abans que es destrueixin les dades.
b) És identificat generalment pels antivirus com CryptoLocker, Trojan:Win32/Crilock.A, etc.
c) McAfee el detecta pel nom W97M/Downloader.[variant], mitjançant el DAT 7623.
d) S'han detectant dues variants, una que demana 100$, i una altra que demana 300$, 300€ o l'equivalent en altres monedes. 
e) A continuació es mostren captures de pantalla de diferents variants del malware:
COM ENS AFECTA?
Un cop el teu ordinador s’ha infectat amb aquest fitxer, aquest malware bloqueja l'equip impedint l'ús o xifrant la informació dels arxius guardats al disc dur i unitats connectades en aquell moment per evitar-ne l'accés.
L’extorsió, emesa dins un arxiu de text o d’una pàgina web que obre el navegador, consisteix a obligar a pagar un rescat amb una quantitat elevada de diners a través de, per exemple, Ukash o PaySafe per tal de revertir la situació (desbloquejar l’equip o desxifrar els arxius afectats).
Malgrat que el malware és fàcilment eliminat, els arxius romanen xifrats, la clau privada es considera gairebé impossible de desxifrar.
QUÈ FER EN CAS D’ESTAR AFECTAT?
                 1. Apagar l’ordinador el més aviat possible, fins i tot desendollant el cable de corrent. El xifrat d'arxius és un procés llarg, si aconseguim aturar-lo aviat, és possible que la majoria dels nostres documents estiguin intactes.

                 2. No intentar desinfectar la màquina immediatament, esborrant fitxers sospitosos o formatant la màquina. Es podrien perdre fitxers necessaris per trencar el xifrat dels nostres documents.

                 3. Identificar la variant de ransomware. Els mecanismes de desxifrat són molt específics per a cada tipus de codi maliciós, i utilitzar una eina inadequada pot impedir que es puguin desxifrar els arxius modificats.

                 4. Intentar desxifrar els arxius mitjançant els mecanismes específics indicats més endavant en aquest document.

                 5. Denunciar el fet davant les autoritats policials i reportar a un equip de resposta a incidents que apliqui segons el col·lectiu afectat, com CESICAT-CERT o INTECO-CERT.

Informació original, aquí.