Ransomware Cerber para Office 365

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/ransomware-cerber-office-365

Fecha de publicacin:
01/07/2016
Importancia:
3 - Media
Recursos afectados:
Office 365.

Descripcin:
El ransomware Cerber est ahora afectando a usuarios de Office 365. Anteriormente ha afectado a otras versiones de Office. Se distribuye mediante correo electrnico con un adjunto autoejecutable que infecta su ordenador
a travs de las macros de Office. Si se descarga este fichero, reinicia el ordenador ejecutando el ransomware que cifra los ficheros de la vctima los secuestra y solicita un rescate en bitcoins a cambio de liberarlos.

Solucin:
De momento no existe solucin para descifrar los ficheros. Este aviso se actualizar cuando se haya probado una solucin.
Se recomienda NO PAGAR el rescate, pues, adems de no tener garanta de recuperacin, esto fomenta la actividad fraudulenta.
Si se dispone de una copia de seguridad se recomienda eliminar cuanto antes el malware del ordenador utilizando un antimalware legtimo actualizado. A continuacin se podrn recuperar los datos de la copia de seguridad.
Para protegerse contra este y otros tipos de malware:

Desactivar las macros en Microsoft Office.

Realizar copias de seguridad y conservarlas en otra ubicacin, separadas fsicamente y sin conexin al ordenador. No utilizar copias de seguridad en la nube pues algunos tipos de malware pueden infectarlas
tambin.

Concienciar a los empleados para no descargar ficheros adjuntos ni hacer clic en enlaces de mensajes de procedencia desconocida, aprendiendo a identificar mensajes de spam y phishing.

Instalar y mantener actualizada una solucin antimalware.

Si ests afectado contacta con tu soporte tecnolgico para:

Hacer una copia en disco duro externo de los ficheros cifrados para poder recuperarlos ms adelante cuando exista solucin.

Solicitar un clonado del disco de los equipos afectados para aportarlo como evidencia si decides denunciar.

Detalle:
El usuario recibe un mensaje con un adjunto ejecutable:
 Si el usuario lo descarga, se reinicia el ordenador y se autoejecuta el malware cifrando los ficheros tipo .jpg, .doc, .raw, .avi etc. a los que aade la extensin .cerber. Despus crea 3 tipos de archivo diferentes en
cada carpeta que contenga archivos encriptados (#DECRYPT MY FILES#.txt, #DECRYPT MY FILES#.html, #DECRYPT MY FILES#.vbs) con instrucciones paso a paso para liberarlos (slo con un software de los
ciberdelincuentes y a travs de la red TOR), en un plazo de tiempo.

Las instrucciones indican cmo pagar el rescate y amenazan que de no hacerse efectivo en el tiempo estipulado se duplicar.
 .
Este malware adems de mostrar la notificacin toma control del sistema de audio para leerla (sus documentos, bases de datos y otros archivos importantes han sido encriptados), avisando de que ha cifrado los
ficheros y del importe del rescate para descifrarlos.
Oleada de ransomware suplantando a Correos
https://www.incibe.es/protege-tu-empresa/avisos-seguridad/oleada-correos-maliciosos-correos

Fecha de publicacin:

16/03/2016

Importancia:

5 - Crtica

Recursos afectados:
Potencialmente cualquier empleado que reciba correo postal, y en particular quienes gestionen envos de paquetes y cartas postales.

Descripcin:
Se ha detectado una campaa de phishing que suplanta la identidad de la empresa Correos con el objetivo de engaar a los usuarios mediante ingeniera social, para que estos hagan clic en un enlace que les redirige a una
web maliciosa que suplanta la identidad de la compaa y tratar de provocar que los usuarios descarguen e instalen un virus que cifrar los archivos del ordenador.

Solucin:
Como en cualquier otro caso de ransomware, se recomienda desconfiar de todos los mensajes recibidos por correo electrnico en el que se la coaccione a hacer una accin ante una posible sancin.
Como pautas generales, para evitar ser vctima de fraudes de tipo ransomware:

No abras correos de usuarios desconocidos o que no hayas solicitado: elimnalos directamente.

No contestes en ningn caso a estos correos.

Precaucin al seguir enlaces en correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.

Precaucin al descargar ficheros adjuntos de correos, en SMS, mensajes en Whatsapp o en redes sociales, aunque sean de contactos conocidos.

Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que est activo.

Asegrate que las cuentas de usuario de tus empleados utilizan contraseas robustas y sin permisos de Administrador

Adems, es importante asegurarnos que estamos realizando peridicamente copias de seguridad. Gurdalas en un lugar diferente al origen de los datos y verifica puntualmente que se realizan correctamente. Por
ejemplo, restaurando una copia de seguridad y verificando los datos restaurados. De esta forma, en el caso de vernos afectados, podemos recuperar la actividad de nuestra empresa de forma gil.
Adems, para prevenir y reforzar estos consejos, es importante realizar acciones de formacin y concienciacin en ciberseguridad entre los empleados.
Si necesita soporte o asistencia, INCIBE ofrece servicios de Respuesta y Soporte ante incidentes de seguridad.

Detalle:
Un trabajador recibe, en su correo electrnico, un mensaje que parece ser una comunicacin oficial de Correos, con un texto que informa al usuario que le puede reclamar dinero por el retraso de un envo certificado, para lo
cual se le pide hacer click en un botn con el texto Descargar informacin sobre su envo incluido en el propio texto del correo electrnico. El asunto llama su atencin y abre el mensaje.
El mensaje tiene el siguiente aspecto:
La falta de precisin del lenguaje del mensaje puede hacernos sospechar.
Adems si nos fijamos bien, al hacer clic en el enlace, en nuestro navegador aparece la direccin de la web fraudulenta que nada tiene que ver con la de Correos (www.correos.es).
Si el usuario es engaado por el beneficio econmico de la reclamacin y pincha en el enlace, es dirigido a una pgina en la que le indican que descargue un fichero.

Esta es la imagen cuando descarga el fichero.

Si ejecuta este ltimo fichero, se descargar un malware del tipo ransomware / cryptolocker que cifrar los datos de su ordenador, mostrando un mensaje en la pantalla del ordenador pidiendo un rescate para recuperar los
datos.