Contacto.

RecepcionistaPuede contactar con nosotros a través de nuestro formulario o de cualquiera de los medios indicados al pie de esta página. Estaremos encantados en poder ayudarle. Gracias de antemano por su atención.

FORMULARIO DE CONTACTO:

 

 

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

 

 

Virus Cerber2

¿Qué es Cerber2?

Cerber2 es una versión actualizada de un virus secuestrador de equipos llamado Cerber. Ambos actúan de forma muy similar, se infiltran en el equipo de las víctimas y cifran varios archivos. Sin embargo, tenga en cuenta que, a diferencia de la versión anterior, Cerber2 añade a los nombres de los archivos encriptados la extensión “.cerber2” en vez de “.cerber“. Cabe también resaltar que esta nueva versión cambia el fondo de escritorio de la víctima por una imagen distinta. No obstante, el mensaje donde se pide el rescate en el escritorio es idéntico al original (solo cambia el enlace de pago). Como el Cerber original, esta versión más reciente crea también tres archivos (“# DECRYPT MY FILES #.txt“, “# DECRYPT MY FILES #.html“, “# DECRYPT MY FILES #.vbs“) y los copia en el escritorio de las víctimas.

Los archivos .txt y .html contienen un mensaje en el que se informa a los usuarios sobre la encriptación y se dan instrucciones para restaurar los archivos. Ahora, el archivo .vbs contiene un VBScript que (al ejecutarse) reproduce el mensaje “”Your documents, databases and other important files have been encrypted!” por los altavoces del equipo. Se afirma que los archivos solo pueden desencriptarse usando una herramienta creada por los desarrolladores de Cerber2. Para descargar esta herramienta, las víctimas deben pagar una recompensa en Bitcoins. El precio se duplicará en 7 días. El motivo por el que los ciberdelincuentes eligen este método de pago es porque les permite permanecer en el anonimato. No existen actualmente herramientas capaces de recuperar los archivos cifrados por Cerber2. La única opción que les queda a las víctimas es restaurar los archivos a partir de una copia de seguridad.

Captura de pantalla del mensaje que insta a los usuarios a contactar con los desarrolladores de Cerber2 para desencriptar los archivos afectados:

instrucciones desencriptación Cerber2

Este virus encriptador comparte muchas similitudes con cientos de programas maliciosos como Locky , UltraCrypter, TeslaCrypt y CTB-Locker. El modus operandi de estos virus es idéntico; bloquean los archivos de las víctimas y les piden dinero para restaurar los archivos. También es necesario resaltar que los virus secuestradores de equipos suelen propagarse a través de asistentes falsos de actualizaciones de software, troyanos, archivos maliciosos adjuntos a correo basura, redes P2P (p. ej. Torrent). Por ello, mantenga actualizado el software instalado (los ciberdelincuentes podría aprovecharse de los errores o fallos de seguridad para meterse en el sistema) y use una solución antivirus o antiespía fiable. Además, debe ir con especial cuidado al abrir adjuntos enviados por direcciones de e-mail desconocidas/sospechosas; descargue siempre los archivos deseados o aplicaciones desde fuentes de confianza con un enlace directo de descarga (las herramientas de descarga pueden introducir una serie de programas basura). Lo fundamental de la seguridad informática es la precaución.

Fuente: https://www.pcrisk.es

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

Virus Zepto

Alerta de virus Zepto: ¡no olvide hacer sus copias de seguridad! 

 

Locked Keys
¡Leer con atención!

De acuerdo con iDigitalTimes y varios otros sitios de internet, este mes se está detectando un incremento en los ataques del virus Zepto, una variedad de Locky.

¡Un excelente momento para hacer un backup!

Este es un excelente momento para revisar sus rutinas de copia de seguridad, y verificar que estén funcionando adecuadamente. Y si no las tiene, es un excelente momento para implementarlas.

Hacer un proyecto para un cliente, lleva muchas horas, generalmente cientos de horas. Y todo ese trabajo puede desaparecer en cuestión de unos minutos gracias a este ataque de Zepto, o de hecho de cualquier otro virus de encriptación.

Y la Ley de Murphy dice que el ataque ocurrirá en el peor momento posible, generalmente un par de horas antes de entregar la oferta que lleva 3 semanas preparando para ese cliente.

Zepto y Locky, lo dejan sin alternativas

Lo que hace a Zepto especialmente frustrante y peligroso es que al igual que Locky, no causa mayor daño al sistema, pero deja inaccesibles los archivos por los que pasa. El virus opera silenciosamente, y ya cuando avisa al usuario que su archivos de datos están inutilizables y… es demasiado tarde.

Zepto utiliza rutinas de seguridad de datos, pero en contra del usuario. Toma el mismo algoritmo de encripción que se usa para asegurar correos, tarjetas de crédito y otros datos sensibles, y se la aplica a la información que tenga el usuario en el disco duro. Y luego recibimos el aviso de la triste realidad: la información sigue en su disco duro, intacta, pero está encriptada con una contraseña aleatoria.

Y si quiere la contraseña, tendrá que pagar una suma que generalmente anda por los cientos o miles de euros. Si llega a infectarse su sistema con Zepto (o Locky), generalmente, también le darán un plazo de tiempo para realizar el pago, o su información estará perdida por siempre.

Zepto utiliza contraseñas aleatorias y con métodos de cifrados muy complejos, para que sea imposible averiguarlas, incluso con los software más avanzados de recuperación. En términos simples, una infección de Zepto es imposible de deshacer… y las únicas soluciones son pagar, o perder los datos.

Y no crea que almacenar sus archivos en un servidor de red, en Dropbox o en Sharepoint va a detener a Zepto. Los autores de este virus ya tuvieron esa posibilidad en cuenta, y si usted puede ver y manipular los archivos, también lo podrá hacer el virus.

¿Cómo prevenir una infección de Zepto?

Virus

Este aumento en las infecciones de Zepto era algo previsible: el virus encontró algún agujero de seguridad en los usuarios, y este mes se está propagando rápidamente. La mayoría de los antivirus estarán recibiendo actualización del fabricante en los próximos días, con las rutinas de detección necesarias.

Lo crítico es detectar el virus, y detenerlo antes de que entre en su equipo informático porque, si el virus entra y se activa, ya no hay nada que hacer.

La mejor forma de evitar ser víctima de esta infección de Zepto es mantener actualizado su software antivirus. Revise que tenga activadas las actualizaciones y que efectivamente estén aplicándose al resto de los equipos de su red. Revíselas todas: una ordenador desactualizado es suficiente para generar una infección en toda su red.

Como mencionamos al inicio, revise también sus rutinas de copia de seguridad, y deje espacio entre ellas. Un copia diaria podría ir en su contra en este caso, porque si el virus infectó a las 9 de la noche, y la copia de seguridad se hizo de madrugada a las 6 de la mañana encontrará que perdió todos sus archivos, y el respaldo contiene solo archivos infectados.

Haga sus copias de seguridad cada 2 o 3 días, o si debe hacerlos diariamente, mantenga una cadena de varios respaldos: vaya sobreescribiendo las copias de 3 días atrás, no el de ayer.

Si usa un servidor central, mantenga restringidos los permisos. Recuerde que el virus puede manipular lo que el usuario pueda manipular, implementando permisos apropiados donde el usuario tenga acceso solo a lo que necesita manipular, evitará que una eventual infección produzca un daño extensivo.

Y por supuesto, no abra archivos que lleguen de desconocidos. Desafortunadamente a veces nos están enviando cosas por correo otras clientes o personas nuevas. Hay que ponerle atención a quién envía cada mensaje, y ver que efectivamente sea un remitente conocido, o por lo menos un remitente esperable. Nuestro departamento comercial puede esperar recibir un correo de un desconocido solicitando una presupuesto nuestro, pero debería sospechar si recibe un correo anunciando que ganó la lotería. Y por supuesto, nadie debería enviarnos archivos ejecutables como adjuntos (.EXE, .COM, etc). Si recibe un correo que tenga uno de esos archivos, evidentemente no va por buen camino y hay que borrarlo.

Si llega a sufrir una infección de Zepto o Locky, sepa que no hay nada que hacer. Por más que le prometan los técnicos y los empresas de recuperación de archivos, no hay posibilidad de recuperar los datos. Debe pagar la suma requerida por el autor del virus, o simplemente dar por perdidos sus datos.

Si la información es muy crítica para su empresa, los expertos recomiendan pagar. Cierto, pagar es fomentar el cibercrimen y dar un impulso a los virus de este tipo, pero es la única alternativa; no hay una garantía al 100% de que después del pago se reciba el fichero con el “antídoto” que va a recuperar nuestros archivos (realmente estamos haciendo un pago casi “a fondo perdido”) aunque, generalmente, si que se recibe el archivo desencriptador. Pagar 300€ para recuperar los datos que le costó 15.000€ generar, es una inversión razonable, aún en estos casos, aunque también estamos detectando que la suma del “rescate” exigida por el hacker cada vez es mayor, llegando en casos bajo nuestra propia experiencia a pedir más de 3.000€ en alguna ocasión. Y considerando que nadie, ni siquiera las autoridades judiciales, van a poder dar con los responsables de estas extorsiones en un plazo razonable, pagar podría ser la mejor forma de salir de este tipo de situaciones, por el momento.

Fuente: http://mundobim.com

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

Virus Locky

¿Qué es Locky?

Locky es un virus secuestrador de equipos que se distribuye a través de archivos maliciosos .doc adjuntos a mensajes basura de correo electrónico. Este documento Word contiene textos codificados que parecen ser macros. Una vez que el usuario habilita los macros en el programa Word, se descarga un ejecutable (el virus criptográfico). Lo que sucede luego es que se encriptan varios archivos. Es notorio que Locky cambie los nombres de todos los archivos por 16 letras y dígitos únicos con la extensión de archivo .locky (.zepto), de ahí que resulte casi imposible identificar los ficheros. Todos ellos son encriptados con un algoritmo RSA-2048 y AES-1024; por tanto, se requiere de una clave privada (que se encuentra almacenada en los servidores remotos controlados por los ciberdelincuentes) para llevar a cabo la desencriptación. Para desencriptar los archivos propios, la víctima debe pagar un rescate.

Cuando los archivos han sido encriptados, Locky crea un archivo .txt. dentro de cada carpeta que tenga archivos encriptados. Para colmo, este virus criptográfico cambia el fondo de pantalla del escritorio. Ambos archivos de texto y el fondo de pantalla reproducen el mismo mensaje que informa al usuario sobre la encriptación. Se asegura que los archivos pueden ser solo desencriptados con un desencriptador desarrollado por los ciberdelincuentes que cuesta 0.5 BitCoins. Cabe resaltar que Locky elimina todas las copias shadow de los archivos. En la fecha de consulta, no existía ninguna herramienta capaz de desencriptar los archivos afectados por Locky, por tanto, la única solución que tiene este problema es restaurar los archivos a partir de una copia de seguridad.

instrucciones desencriptación Locky

Los resultados de investigaciones muestran que hay cientos de programas maliciosos de la categoría ransomware que son similares a Locky; por ejemplo, Cryptowall, JobCrypte, UmbreCrypt, TeslaCrypt y DMA-Locker. Todos ellos actúan de la misma forma: encriptan los archivos y exigen un rescate. La única diferencia es la cuantía del rescate y el tipo de algoritmo usado para encriptar los archivos. Los resultados de investigaciones apuntan a que no hay ninguna garantía de que recuperará sus archivos aun habiendo pagado el rescate. Si realiza el pago, estará apoyando el negocio malicioso de los ciberdelincuentes. Por ese motivo, nunca debería pagar el rescate ni tampoco intentar contactar con ellos. Asimismo, los usuarios deben quedar informados de que el software malicioso como Locky se distribuye normalmente a través de actualizaciones de software, redes P2P, adjuntos de e-mail maliciosos y troyanos. Por tanto, es muy importante mantener actualizados todos los programas instalados y verificar bien lo que está descargando. Los usuarios deben también ir con cuidado al abrir adjuntos en e-mails enviados desde direcciones sospechosas. Es imprescindible usar una solución fiable antivirus o antiespía.

A continuación, verá una captura de pantalla del mensaje de correo electrónico usado para distribuir el virus criptográfico Locky. E-mail con asunto “ATTN: Invoice J-12345678” y el adjunto infectado “invoice_J-12345678.doc” (contiene macros que descargan e instalan el virus bloqueador de equipos Locky en el sistema de la víctima):

Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!

adjunto de e-mail infectado que distribuye el virus criptográfico Locky

Archivo de texto _Locky_recover_instructions.txt:

archivo de texto con instrucciones para pagar el rescate

Texto mostrado en el fondo de pantalla del escritorio y en los archivos .txt creados por Locky:

!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxxxxm4crv6rr6.onion/07Bxxx75DC646805
4. Follow the instructions on the site.
!!! Your personal identification ID: 07Bxxx75DC646805 !!!

Captura de pantalla del escritorio de una víctima infectada con el virus criptográfico Locky:

virus criptográfico locky atacando el equipo de sus víctimas

Tipos de archivo afectados por el virus criptográfico Locky:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Fuente: https://www.pcrisk.es

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

Virus Endesa

Endesa ha detectado una campaña con el objetivo de infectar a usuarios enviando -desde direcciones falsas muy similares a las que puede usar la eléctrica- un email con una falsa factura que, al intentarla ver, descarga un virus en el ordenador del usuario.

La eléctrica ha advertido a sus clientes de que se trata del Ransomware Locky un virus que bloquea los archivos personales de los usuarios de ordenadores y les pide que paguen un rescate para recuperarlos.

El falso correo lo han recibido tanto clientes de Endesa como los que no lo son por lo que no se trata de un ataque que sufre la eléctrica.

El programa se distribuye por correo electrónico desde un supuesto correo de Endesa indicando que se trata de una factura eléctrica de importe elevado:cuando el usuario realiza click en el enlace para ver el detalle de la factura se descarga el virus en el equipo.

Ante esta situación, Endesa recomienda eliminar sin abrir cualquier correo sospechoso con la apariencia de factura de la compañía.

View image on Twitter
Fuente: http://www.libremercado.com/

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

¿Cryptolocker? ¿Qué es?

Cryptolocker-1-1080x675

Cryptolocker es un ransomware que ataca a sus víctimas encriptando los documentos almacenados en el equipo y pidiendo un rescate por ellos.

El ransomware es un tipo de malware que, una vez infecta el ordenador, bloquea la máquina y chantajea a la víctima para que ésta recupere el control del equipo a cambio de un desembolso de dinero.  Pagar la cantidad que nos solicitan no es garante de que nos devuelvan el acceso a nuestros documentos, de hecho la mayoría de las personas no reciben la clave para el desbloqueo tras realizar el pago. Por eso, nuestra recomendación es no caer en este chantaje, ya que además es una forma de alentar que continúen con su estafa

El  CryptoLocker se difunde sobre todo a través emails de phishing.  Utiliza el sistema de cifrado RSA-2048 con una clave privada y cifra cualquier tipo de documentos (fotos, vídeos, audio…). Nos facilitarán una lista con todos los archivos encriptados y en nuestro equipo saldrá una cuenta atrás de 3 días para que realicemos el pago, o de lo contrario no recuperaremos nuestros documentos.

El primer ransomware cifrado apareció en 2006-2007; y desde entonces el número de versiones de este virus no hecho más que crecer, hasta convertirse en una de las amenazas más peligrosas para los usuarios.

La probabilidad de restaurar los archivos comprometidos por cryptolocker es muy baja,  en torno a un 10%, por lo que a día de hoy no hay ninguna solución comercial que asegure su recuperación; y el usuario habrá perdido sus datos para siempre. Por lo tanto, la mayor parte del trabajo está en la prevención.

Fuente: http://www.tecnocero.com

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

Virus Correos de España

Un ataque amenaza los ‘emails’ españoles suplantando a Correos

Un nuevo ‘secuestro exprés’ de datos fingiendo la recogida de un paquete postal ha sido enviado a miles de buzones electrónicos.

Virus informatico

Miles de e-mails enviados a cuentas de correo con el mismo contenido. Un supuesto certificado de Correos para recoger un paquete que no había podido ser entregado a su dueño. Pero al descargar el archivo que adjunta los detalles del envío, el ordenador se infecta con un virus y todos los archivos de textos e imágenes quedan bloqueados. Si el usuario quiere recuperarlos, solo tiene una alternativa: pagar 299 euros en bitcoins por el secuestro exprés de sus datos.

Estos ataques se encuentran dentro de una moda entre los delincuentes informáticos conocida como ramsonware. El procedimiento es sencillo: el ordenador se infecta con un programa que codifica los datos que deseen atacar los piratas. Y luego se pide un rescate por recuperarlos. Normalmente, con cuenta atrás. En el caso del virus de Correos, el afectado tiene tres días para pagar o se le doblará el precio. Si no paga, la clave que libera sus datos será borrada, quedando inaccesibles. “Y es casi imposible recuperarlos. Salvo que tengamos copia de seguridad. Pero estos criminales han diseñado ya estos virus para que, nada más infectar el ordenador, se borren todas las copias automáticas de seguridad de nuestros archivos”, explicaLuis Corrons Granel (Bilbao, 1975), director técnico dePandaLabs, el laboratorio encargado con lidiar con las amenazas informáticas de la empresa de antivirus, que ha detectado e informado de la amenaza esta mañana.

La metodología de los criminales es sofisticada. Corrons explica los detalles: “El envío de los e-mails infectados se hace una sola vez en una oleada por ataque. Suelen coordinarse desde varios países y atacar más de una región en el mundo, aunque en este caso solo lo hemos detectado en España. Exigen el pago en Bitcoin y utilizan la red Tor para que no se les pueda rastrear. Y suelen pagar los rescates. Si no lo hicieran sus clientes (es decir, sus víctimas) probablemente no pagarían en un nuevo ataque”. Panda detectó la presencia de esta infección cuando en su red de usuarios comenzó a presentarse un tipo de fichero nuevo. “Hay miles al día que pueden ser actualizaciones o malware. Pero es un aviso para investigar si hay un problema de seguridad”.

Los criminales piden que el  usuario pague 299 euros para que recupere sus datos. Si no los ingresa en tres días, doblan la cuantía el rescate

La clave del éxito de la infección es lo preciso que sea el camuflaje de la institución o empresa a la que se suplanta. En este caso, la imitación de Correos tenía muchos fallos de redacción, lo que en opinión de Corrons indica que “probablemente” los delincuentes no sean españoles y hayan usado un programa de traducción online. Pero en otros aspectos, la copia está muy trabajada. Cuando se pincha en el link que adjunta el correo para revisar el estado del paquete, se abre una página clonada que cuenta con todos los elementos para que resulte creíble. Incluye incluso un captcha, el código para detectar que quien interactúa con una página es una persona y no un robot. Después de introducir los datos, se ofrece un archivo zip a descargar con un pdf en su interior. Pinchar en él es decirle adiós a los datos personales… Hasta que se pague el rescate. “El daño que te pueden hacer a nivel personal y profesional es brutal. En una empresa podría bloquear todos los archivos, tanto los personales como los compartidos. Y en el caso de un usuario, pues podrías perder todas las fotos de tus viajes o tu familia más los documentos de texto que tengas”, detalla Corrons.

No es la primera vez que se suplanta la identidad de Correos. A finales de enero, piratas informáticos bloquearon 400.000 archivos del IFEMA utilizando la misma estrategia de clonación. En menos de un minuto, los archivos quedaron bloqueados por el virus Cryptolocker. En noviembre de 2013, la comisaría de policía de Swansea (Massachussetts) pagó 2 bitcoin (unos 449 euros) para liberar sus archivos. El Instituto Nacional de Ciberseguridad de España (INCIBE), institución dependiente del ministerio de Industria, Energía y Turismo, tiene una detallada web dedicada al ramsonware. “Aunque no están atacando constantemente, son de los que más daño están haciendo. Porque van directamente a por tus archivos”, remata Corrons.

Fuente: http://www.elpais.com

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

Empresa de moda, Madrid.

Noviembre, 2.014.

En esta ocasión nos llamó un cliente histórico, al que vemos con alguna regularidad y siempre a demanda suya.

No tenemos nada convenido con ellos en cuanto a algún mantenimiento preventivo o similar (aunque siempre se lo hemos sugerido); son clientes de hace muchos años y cuando ellos lo estiman conveniente nos llaman con una “ristra” de incidencias informáticas que tienen en ese momento y, ese día, vamos y se las resolvemos todas; y digo “ese día” porque, generalmente, sólo vemos a ésta empresa dos o tres veces al año pero cuando nos toca acudir, es para echar el día entero en la asistencia técnica.

En aquella mañana, sobre la 09:30 horas, recibimos la llamada de Amaya. Nos comenta que habían estado trabajando con normalidad hasta el día anterior pero que, esa mañana, algo raro le pasaba al ordenador. Al parecer, sin venir a cuento, archivos que podían abrir como siempre (me ponía el ejemplo de unos cuantos del escritorio), ahora no querían abrirse.

Para realizar comprobaciones adicionales, le pido a Amaya que me de paso con nuestra herramienta de control remoto a su escritorio para verificar que es lo que estaba pasando y vemos que, en efecto, así es. Primero pensamos incluso que pudiera tratarse de una asignación errónea de algunos archivos concretos sobre la aplicación que debiera abrirlos (esto es, que lo mismo había tocado en algún sitio para decirle a un archivo PDF que fuera abierto con Microsoft Excel), pero no; algo muy extraño había con lo que estaba ocurriendo puesto que no eran archivos de una sola tipología los que no se podían abrir, sino que había, entre otros, archivos .doc, .xls, .pdf, .jpg…raro, raro…

Decididamente, llamamos a la empresa de seguridad informática (la empresa de antivirus de la que somos distribuidores desde hace muchos años y en la cual confiamos el 100% de soluciones en materia de seguridad informática que proporcionamos a nuestros clientes), y nos indica que todo parece ser un ransomware y que le preguntemos al cliente por algún hecho diferenciador que hubiera determinado el cambio en el comportamiento del equipo: sin lugar a dudas se trataba de encontrar el detonante que había desencadenado todo aquello.

Me pongo en contacto telefónico con Amaya nuevamente, que me indica que SÍ que hay algo que tal vez hubiera podido iniciar todo aquello: indica que, como todos los días, a primera hora (sobre las 08:30), según llega a la oficina enciende su equipo y abre el correo electrónico como todas las mañanas y seguidamente se pone a procesarlo. Recuerda que hubo un correo que le extrañó un poco: se trataba de una comunicación proveniente en apariencia de “Correos de España”  en el que se le daban instrucciones para obtener un justificante de un supuesto paquete que tenía que recoger…

¡Ahá! Ahí estaba lo que buscábamos.

virus correos

 Al parecer, justo tras clickar en los enlaces marcados e intentar abrir un supuesto “justificante de recogida de carta certificada”, se desencadenó un proceso que concluyó con la encriptación de miles de archivos del ordenador del cliente y que no sólo afectó al equipo donde se recibió ese correo, sino también a otros equipos de la red, unidades de red compartidas de otros equipos y también unidades conectadas a puertos extraibles como pudieron ser pendrives y discos externos USB. Tanto es así que el servidor de la empresa (más concretamente la carpeta que tenía compartida para el resto de los usuarios y donde se alojaba la información más sensible) así como uno de los discos de copia de seguridad que estaba conectado en ese momento por USB, resultaron ENCRIPTADOS.

¿que hacer a partir de ese momento?

La empresa de seguridad informática,  nos recomendó encarecidamente no realizar el pago exigido por los “hacker secuestradores” puesto que, según decían, no se estaba recibiendo ninguna herramienta de desencriptación a cambio (según lo aludido por otros clientes que les habían llamado y había realizado el pago) y lo único que pasaría es que el cliente se quedaría sin el dinero y sin el archivo para desencriptar que nunca sería recibido a la vuelta del pago con lo que, no quedaba más remedio que acudir a los discos de la copia de seguridad, cosa que, si el cliente había llevado una buena praxis con ello, no tendría nada que temer o bien la pérdida de datos tendría que ser mínima.

He aquí otro de los problemas. ¡la copia de seguridad! La empresa tenía dos discos duros con un programa automatizado que hacía la copia en uno u otro, según el que estuviera conectado. Se trataban de dos discos duros externos USB en los que todas las madrugadas tanto si estaba conectado el uno o el otro, realizaba una copia de seguridad de los archivos del servidor. La teoría decía que los discos se cambiarían con cierta regularidad (recomendamos semanalmente) para que, llegado el caso, se perdiera el mínimo de información y pudiéramos acudir al otro que no estaría conectado al servidor y que, en el mejor de los casos, no estaría ni en las propias instalaciones de la empresa: esa era la mejor salvaguardia en caso de que entraran a robar o hubiera un incendio o una inundación.

En este caso, lo de siempre: “que si le tocaba a fulanito cambiarlo”, “que no que era menganito el que lo cambiaba” y al final, “la casa sin barrer” como suele decirse;

  1. Nadie se estaba haciendo cargo de intercambiar los discos semanalmente como recomendamos.
  2. Recordemos que estábamos con los datos encriptados en los equipos de la red, en la carpeta de DATOS del servidor y que el disco de copia de seguridad que estaba conectado por USB al SERVIDOR , también estaba encriptado.

Pues bien, como decíamos al principio, este caso data de noviembre de 2.014; pues localizaron el disco duro de la copia de seguridad que no estaba conectado al servidor sino que estaba en un cajón de la oficina (no es lo más recomendado como dijimos anteriormente, en caso de robo, incendio o inundación de la oficina pero ahí estaba), y ¡tenía una copia de seguridad!. La sorpresa vino cuando accedimos a ver de cuando databa…¡JUNIO de 2.013!

Pues señores, con eso tuvieron que conformarse…

Gracias de antemano por vuestra atención y ojo a las copias de seguridad.

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg solucionvirus@hotmail.com