Virus Cerber2

¿Qué es Cerber2?

Cerber2 es una versión actualizada de un virus secuestrador de equipos llamado Cerber. Ambos actúan de forma muy similar, se infiltran en el equipo de las víctimas y cifran varios archivos. Sin embargo, tenga en cuenta que, a diferencia de la versión anterior, Cerber2 añade a los nombres de los archivos encriptados la extensión “.cerber2” en vez de “.cerber“. Cabe también resaltar que esta nueva versión cambia el fondo de escritorio de la víctima por una imagen distinta. No obstante, el mensaje donde se pide el rescate en el escritorio es idéntico al original (solo cambia el enlace de pago). Como el Cerber original, esta versión más reciente crea también tres archivos (“# DECRYPT MY FILES #.txt“, “# DECRYPT MY FILES #.html“, “# DECRYPT MY FILES #.vbs“) y los copia en el escritorio de las víctimas.

Los archivos .txt y .html contienen un mensaje en el que se informa a los usuarios sobre la encriptación y se dan instrucciones para restaurar los archivos. Ahora, el archivo .vbs contiene un VBScript que (al ejecutarse) reproduce el mensaje “”Your documents, databases and other important files have been encrypted!” por los altavoces del equipo. Se afirma que los archivos solo pueden desencriptarse usando una herramienta creada por los desarrolladores de Cerber2. Para descargar esta herramienta, las víctimas deben pagar una recompensa en Bitcoins. El precio se duplicará en 7 días. El motivo por el que los ciberdelincuentes eligen este método de pago es porque les permite permanecer en el anonimato. No existen actualmente herramientas capaces de recuperar los archivos cifrados por Cerber2. La única opción que les queda a las víctimas es restaurar los archivos a partir de una copia de seguridad.

Captura de pantalla del mensaje que insta a los usuarios a contactar con los desarrolladores de Cerber2 para desencriptar los archivos afectados:

instrucciones desencriptación Cerber2

Este virus encriptador comparte muchas similitudes con cientos de programas maliciosos como Locky , UltraCrypter, TeslaCrypt y CTB-Locker. El modus operandi de estos virus es idéntico; bloquean los archivos de las víctimas y les piden dinero para restaurar los archivos. También es necesario resaltar que los virus secuestradores de equipos suelen propagarse a través de asistentes falsos de actualizaciones de software, troyanos, archivos maliciosos adjuntos a correo basura, redes P2P (p. ej. Torrent). Por ello, mantenga actualizado el software instalado (los ciberdelincuentes podría aprovecharse de los errores o fallos de seguridad para meterse en el sistema) y use una solución antivirus o antiespía fiable. Además, debe ir con especial cuidado al abrir adjuntos enviados por direcciones de e-mail desconocidas/sospechosas; descargue siempre los archivos deseados o aplicaciones desde fuentes de confianza con un enlace directo de descarga (las herramientas de descarga pueden introducir una serie de programas basura). Lo fundamental de la seguridad informática es la precaución.

Fuente: https://www.pcrisk.es

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

Virus Zepto

Alerta de virus Zepto: ¡no olvide hacer sus copias de seguridad! 

 

Locked Keys
¡Leer con atención!

De acuerdo con iDigitalTimes y varios otros sitios de internet, este mes se está detectando un incremento en los ataques del virus Zepto, una variedad de Locky.

¡Un excelente momento para hacer un backup!

Este es un excelente momento para revisar sus rutinas de copia de seguridad, y verificar que estén funcionando adecuadamente. Y si no las tiene, es un excelente momento para implementarlas.

Hacer un proyecto para un cliente, lleva muchas horas, generalmente cientos de horas. Y todo ese trabajo puede desaparecer en cuestión de unos minutos gracias a este ataque de Zepto, o de hecho de cualquier otro virus de encriptación.

Y la Ley de Murphy dice que el ataque ocurrirá en el peor momento posible, generalmente un par de horas antes de entregar la oferta que lleva 3 semanas preparando para ese cliente.

Zepto y Locky, lo dejan sin alternativas

Lo que hace a Zepto especialmente frustrante y peligroso es que al igual que Locky, no causa mayor daño al sistema, pero deja inaccesibles los archivos por los que pasa. El virus opera silenciosamente, y ya cuando avisa al usuario que su archivos de datos están inutilizables y… es demasiado tarde.

Zepto utiliza rutinas de seguridad de datos, pero en contra del usuario. Toma el mismo algoritmo de encripción que se usa para asegurar correos, tarjetas de crédito y otros datos sensibles, y se la aplica a la información que tenga el usuario en el disco duro. Y luego recibimos el aviso de la triste realidad: la información sigue en su disco duro, intacta, pero está encriptada con una contraseña aleatoria.

Y si quiere la contraseña, tendrá que pagar una suma que generalmente anda por los cientos o miles de euros. Si llega a infectarse su sistema con Zepto (o Locky), generalmente, también le darán un plazo de tiempo para realizar el pago, o su información estará perdida por siempre.

Zepto utiliza contraseñas aleatorias y con métodos de cifrados muy complejos, para que sea imposible averiguarlas, incluso con los software más avanzados de recuperación. En términos simples, una infección de Zepto es imposible de deshacer… y las únicas soluciones son pagar, o perder los datos.

Y no crea que almacenar sus archivos en un servidor de red, en Dropbox o en Sharepoint va a detener a Zepto. Los autores de este virus ya tuvieron esa posibilidad en cuenta, y si usted puede ver y manipular los archivos, también lo podrá hacer el virus.

¿Cómo prevenir una infección de Zepto?

Virus

Este aumento en las infecciones de Zepto era algo previsible: el virus encontró algún agujero de seguridad en los usuarios, y este mes se está propagando rápidamente. La mayoría de los antivirus estarán recibiendo actualización del fabricante en los próximos días, con las rutinas de detección necesarias.

Lo crítico es detectar el virus, y detenerlo antes de que entre en su equipo informático porque, si el virus entra y se activa, ya no hay nada que hacer.

La mejor forma de evitar ser víctima de esta infección de Zepto es mantener actualizado su software antivirus. Revise que tenga activadas las actualizaciones y que efectivamente estén aplicándose al resto de los equipos de su red. Revíselas todas: una ordenador desactualizado es suficiente para generar una infección en toda su red.

Como mencionamos al inicio, revise también sus rutinas de copia de seguridad, y deje espacio entre ellas. Un copia diaria podría ir en su contra en este caso, porque si el virus infectó a las 9 de la noche, y la copia de seguridad se hizo de madrugada a las 6 de la mañana encontrará que perdió todos sus archivos, y el respaldo contiene solo archivos infectados.

Haga sus copias de seguridad cada 2 o 3 días, o si debe hacerlos diariamente, mantenga una cadena de varios respaldos: vaya sobreescribiendo las copias de 3 días atrás, no el de ayer.

Si usa un servidor central, mantenga restringidos los permisos. Recuerde que el virus puede manipular lo que el usuario pueda manipular, implementando permisos apropiados donde el usuario tenga acceso solo a lo que necesita manipular, evitará que una eventual infección produzca un daño extensivo.

Y por supuesto, no abra archivos que lleguen de desconocidos. Desafortunadamente a veces nos están enviando cosas por correo otras clientes o personas nuevas. Hay que ponerle atención a quién envía cada mensaje, y ver que efectivamente sea un remitente conocido, o por lo menos un remitente esperable. Nuestro departamento comercial puede esperar recibir un correo de un desconocido solicitando una presupuesto nuestro, pero debería sospechar si recibe un correo anunciando que ganó la lotería. Y por supuesto, nadie debería enviarnos archivos ejecutables como adjuntos (.EXE, .COM, etc). Si recibe un correo que tenga uno de esos archivos, evidentemente no va por buen camino y hay que borrarlo.

Si llega a sufrir una infección de Zepto o Locky, sepa que no hay nada que hacer. Por más que le prometan los técnicos y los empresas de recuperación de archivos, no hay posibilidad de recuperar los datos. Debe pagar la suma requerida por el autor del virus, o simplemente dar por perdidos sus datos.

Si la información es muy crítica para su empresa, los expertos recomiendan pagar. Cierto, pagar es fomentar el cibercrimen y dar un impulso a los virus de este tipo, pero es la única alternativa; no hay una garantía al 100% de que después del pago se reciba el fichero con el “antídoto” que va a recuperar nuestros archivos (realmente estamos haciendo un pago casi “a fondo perdido”) aunque, generalmente, si que se recibe el archivo desencriptador. Pagar 300€ para recuperar los datos que le costó 15.000€ generar, es una inversión razonable, aún en estos casos, aunque también estamos detectando que la suma del “rescate” exigida por el hacker cada vez es mayor, llegando en casos bajo nuestra propia experiencia a pedir más de 3.000€ en alguna ocasión. Y considerando que nadie, ni siquiera las autoridades judiciales, van a poder dar con los responsables de estas extorsiones en un plazo razonable, pagar podría ser la mejor forma de salir de este tipo de situaciones, por el momento.

Fuente: http://mundobim.com

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com

Virus Locky

¿Qué es Locky?

Locky es un virus secuestrador de equipos que se distribuye a través de archivos maliciosos .doc adjuntos a mensajes basura de correo electrónico. Este documento Word contiene textos codificados que parecen ser macros. Una vez que el usuario habilita los macros en el programa Word, se descarga un ejecutable (el virus criptográfico). Lo que sucede luego es que se encriptan varios archivos. Es notorio que Locky cambie los nombres de todos los archivos por 16 letras y dígitos únicos con la extensión de archivo .locky (.zepto), de ahí que resulte casi imposible identificar los ficheros. Todos ellos son encriptados con un algoritmo RSA-2048 y AES-1024; por tanto, se requiere de una clave privada (que se encuentra almacenada en los servidores remotos controlados por los ciberdelincuentes) para llevar a cabo la desencriptación. Para desencriptar los archivos propios, la víctima debe pagar un rescate.

Cuando los archivos han sido encriptados, Locky crea un archivo .txt. dentro de cada carpeta que tenga archivos encriptados. Para colmo, este virus criptográfico cambia el fondo de pantalla del escritorio. Ambos archivos de texto y el fondo de pantalla reproducen el mismo mensaje que informa al usuario sobre la encriptación. Se asegura que los archivos pueden ser solo desencriptados con un desencriptador desarrollado por los ciberdelincuentes que cuesta 0.5 BitCoins. Cabe resaltar que Locky elimina todas las copias shadow de los archivos. En la fecha de consulta, no existía ninguna herramienta capaz de desencriptar los archivos afectados por Locky, por tanto, la única solución que tiene este problema es restaurar los archivos a partir de una copia de seguridad.

instrucciones desencriptación Locky

Los resultados de investigaciones muestran que hay cientos de programas maliciosos de la categoría ransomware que son similares a Locky; por ejemplo, Cryptowall, JobCrypte, UmbreCrypt, TeslaCrypt y DMA-Locker. Todos ellos actúan de la misma forma: encriptan los archivos y exigen un rescate. La única diferencia es la cuantía del rescate y el tipo de algoritmo usado para encriptar los archivos. Los resultados de investigaciones apuntan a que no hay ninguna garantía de que recuperará sus archivos aun habiendo pagado el rescate. Si realiza el pago, estará apoyando el negocio malicioso de los ciberdelincuentes. Por ese motivo, nunca debería pagar el rescate ni tampoco intentar contactar con ellos. Asimismo, los usuarios deben quedar informados de que el software malicioso como Locky se distribuye normalmente a través de actualizaciones de software, redes P2P, adjuntos de e-mail maliciosos y troyanos. Por tanto, es muy importante mantener actualizados todos los programas instalados y verificar bien lo que está descargando. Los usuarios deben también ir con cuidado al abrir adjuntos en e-mails enviados desde direcciones sospechosas. Es imprescindible usar una solución fiable antivirus o antiespía.

A continuación, verá una captura de pantalla del mensaje de correo electrónico usado para distribuir el virus criptográfico Locky. E-mail con asunto “ATTN: Invoice J-12345678” y el adjunto infectado “invoice_J-12345678.doc” (contiene macros que descargan e instalan el virus bloqueador de equipos Locky en el sistema de la víctima):

Dear someone, Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice. Let us know if you have any questions. We greatly appreciate your business!

adjunto de e-mail infectado que distribuye el virus criptográfico Locky

Archivo de texto _Locky_recover_instructions.txt:

archivo de texto con instrucciones para pagar el rescate

Texto mostrado en el fondo de pantalla del escritorio y en los archivos .txt creados por Locky:

!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
hxxps://en.wikipedia.org/wiki/RSA_(cryptosystem)
hxxps://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. hxxp://6dtxxxxm4crv6rr6.tor2web.org/07Bxxx75DC646805
2. hxxp://6dtxxxxgqam4crv6rr6.onion.to/07Bxxx75DC646805
3. hxxp://6dtxxxxgqam4crv6rr6.onion.cab/07Bxxx75DC646805
4. hxxp://6dtxxxxgqam4crv6rr6.onion.link/07Bxxx75DC646805
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: hxxps://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxxxxm4crv6rr6.onion/07Bxxx75DC646805
4. Follow the instructions on the site.
!!! Your personal identification ID: 07Bxxx75DC646805 !!!

Captura de pantalla del escritorio de una víctima infectada con el virus criptográfico Locky:

virus criptográfico locky atacando el equipo de sus víctimas

Tipos de archivo afectados por el virus criptográfico Locky:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Fuente: https://www.pcrisk.es

Si lo necesitas, no esperes más. Ponte en contacto con nosotros.

telefono-NEGRO-MAPA-DE-BITS 916075463

Whastapp 625 727 727

email2.jpg  solucionvirus@hotmail.com