Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/01/2015
Detectada nueva campaña de Ransomware con CTB-Locker
Se ha detectado una nueva campaña de ransomware, un tipo de malware que cifra todos los documentos del disco duro de la víctima y pide un rescate por descifrarlos.
Esta campaña, detectada por PandaLabs, utiliza una nueva variante del CTB-Locker, y está afectando desde hace unos días a muchos usuarios españoles.
Todo apunta a que el foco de infección es un correo electrónico con un fichero adjunto, bien con extensión doc o rtf, o bien un fichero comprimido que contiene un fichero con extensión scr.
Una vez el usuario ha ejecutado el fichero adjunto, empieza a cifrar todos los documentos que encuentra en los discos duros del usuario, incluyendo documentos accesibles a través de unidades de red, por lo que debemos tener especial cuidado en entornos empresariales, ya que podría comprometerse toda la información de la empresa si no se toman medidas a tiempo.
También se han detectado variantes que roban las libretas de direcciones de las aplicaciones de correo electrónico para obtener nuevas víctimas a las que enviar el correo electrónico origen de la infección.
En el artículo de Panda Security podemos ver capturas con el aspecto que presenta el malware una vez ha infectado el equipo.
En este enlace tenemos más información sobre la familia CTB-Locker. Se indica que utiliza criptografía de curva elíptica para cifrar los ficheros, Tor para comunicarse con los servidores de control, y Bitcoin como método de pago, dificultando en gran medida el seguimiento de los delincuentes. Además, indican que aún no se ha encontrado forma de descifrar los ficheros cifrados por este malware sin tener que pagar el rescate (lo que tampoco garantiza que el atacante descifre los ficheros).
En los últimos meses estamos viendo aparecer cada vez más Ransomware, y todo apunta a que será una técnica que irá aumentando su presencia en un futuro próximo, como indica el FBI en su artículo "Ransomware on the Rise" (Ransomware en Auge).