Alerta! Cryptolocker se replica en pendrives USB

CryptolockerEste virus es distribuido en los paquetes conocidos como exploit kits, que se infiltran en las computadoras a través de vulnerabilidades de seguridad en sistemas no actualizados (o pirateados). La forma más común es usando ingeniería social, a través de mensajes de email que nos invitan a hacer clic en un vínculo o a ejecutar un determinado programa. También se propagan a través de sitios web maliciosos, o por medio de búsquedas engañosas (como aquellas que nos llevan a sitios warez cuando buscamos mp3´s o programas piratas). Este ransomware escanea todas las unidades de red local conectadas a tu equipo.


Después de infiltrarse Cryptolocker encripta los archivos con las siguientes extensiones: *.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.eps, *.ai, *.indd, *.cdr, ????????.jpg, ????????.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c, entre otros.

 

Claramente la amenaza mayor es para las empresas, pues aunque se atacan archivos comunes (fotos, documentos, música, videos), al analizar los tipos de archivo afectados podemos encontrar hojas de calculo, archivos de correo, gráficos generadas por computador, bases de datos y otros.

Cryptolocker sigue campando a sus anchas por la Internet mundial y una nueva variante es capaz de replicarse y propagarse a través de unidades extraíbles USB, según investigadores de Trend Micro.

Muy parecido en su funcionamiento al conocido en España como ‘virus de la policía’, CryptoLocker es un virus-estafa-spam que utiliza técnicas Ransomware, una pieza de malware que infecta y bloquea el sistema hasta que la víctima “no pague el rescate exigido” en un tiempo determinado, amenazando con la eliminación de datos del equipo, y otras consecuencias.

CryptoLocker tiene una característica peculiar ya que se apodera de los archivos personales del equipo bajo un fuerte cifrado usando una clave pública RSA-2048, con la clave de descifrado incluida en un servidor secreto en Internet.

Con múltiples variantes, la última detectada denominada WORM_CRILOCK. A, una vez infectado el equipo, es capaz de replicarse en unidades extraíbles a través del puerto USB.

Esta versión se está extendiendo principalmente en sitios Torrent haciéndose pasar por generador o activador de software de pago como Adobe Photoshop o Microsoft Office, aunque no es raro que te lo encuentres en correo.

¿Que sucede si pago el “rescate”?
Realizar el pago es enviar dinero a ciber-criminales, y no existe ninguna garantía de que los archivos serán desencriptados, aunque según algunos sitios web, se han conocido casos en los que efectivamente se han recuperado los datos después de realizar el pago. Por supuesto que aun después de realizado el pago, es posible la re-infección, por lo que recomendamos reformatear y reinstalar todo de nuevo desde cero.

¿Existe alguna otra forma de quitar el virus y recuperar mi información?
Remover el virus es relativamente sencillo y existen muchos tutoriales para ello en Internet. Sin embargo, a pesar de que prácticamente todos los fabricantes de antivirus están buscando una solución, hasta la fecha (Septiembre 2013), no existe forma de desencriptar los datos sin ambas llaves.

¿Que puedo hacer para prevenir la pérdida de mi información?
La única forma segura es mantener un respaldo físico o virtual, fuera de línea.

Fuente: Muy seguridad