Seguridad Informática. Nueva campaña de ransomware crysis se propaga a través del correo

Escrito por Diego Perez

Los países de Latinoamérica más afectados por esta nueva campaña del ransomware crysis son: Brasil, México, Colombia, Argentina y Perú.

Crysis estuvo en el top 5 de los ransomware más detectados en Latinoamérica durante el 2017 y causó grandes pérdidas de datos a varias empresas de la región y a nivel mundial. Sin embargo, lo que sucedió el año pasado parece no haber sido suficiente para los atacantes, quienes decidieron lanzar una nueva campaña de infección compuesta por correos electrónicos con adjuntos maliciosos que tienen la misión de infectar el equipo de la víctima.

Según datos de ESET acerca de la cantidad de detecciones de crysis registradas en Latinoamérica durante los últimos meses, Brasil (22%) aparece como el más afectado, seguido por México (19%), Colombia (17%), Argentina (16%) y Perú (9%).

Esta amenaza, detectada por los productos de ESET como MSIL/Kryptik.NUQ, está desarrollada en .NET y empaquetada para evadir las soluciones antivirus. Gracias a esto, el ransomware es ejecutado en memoria logrando cifrar todos los archivos del sistema.

Una vez infectada la computadora de la víctima, la amenaza intentará crear llaves de registros y copiarse en cuatro directorios para asegurar su persistencia; y a su vez, lograr la ejecución del ransomware en cada inicio del sistema operativo para poder cifrar nuevos archivos.

uella digital - Seguridad Informática. Nueva campaña de ransomware crysis se propaga a través del correo

Luego, el código malicioso ejecutará el comando para eliminar las copias de seguridad de Windows usando vssadmin.exe.

huella digital - Seguridad Informática. Nueva campaña de ransomware crysis se propaga a través del correo

Eliminación de las copias de seguridad de Windows

La siguiente etapa consistirá en cifrar todos los archivos del sistema agregando a cada archivo un identificador alfanumérico y el correo para contactar con el atacante:
– FileName.fileExtension.id-[randomCharacters].[email].bip

huella digital - Seguridad Informática. Nueva campaña de ransomware crysis se propaga a través del correo

Archivos cifrados con un identificador alfanumérico y correo para contactar con el atacante.

Por ultimo, crysis crea una serie de archivos para notificar a la victima de que sus archivos fueron cifrados y cuáles son los pasos a seguir para recuperar la información. Uno de ellos es un archivo de texto normal y el otro es un archivo HTA que se abre como un archivo HTML corriente y puede ejecutar código JavaScript y Visual Basic Script. En este caso se utiliza para generar la ventana con la alerta proporcionada por la amenza.

  • FILES ENCRYPTED.txt
  • info.hta

huella digital - Seguridad Informática. Nueva campaña de ransomware crysis se propaga a través del correo

Ventana que notifica a la victima de que sus archivos fueron cifrados y cuáles son los pasos a seguir para recuperar la informacion.

La amenaza utiliza el proceso mshta.exe (Microsoft HTML Aplication Host) legítimo del sistema operativo para visualizar la alerta del ataque, pasándole como parametro el archivo HTA. Esto se ejecutará cada vez que el usuario inicie sesión en el equipo infectado.

huella digital - Seguridad Informática. Nueva campaña de ransomware crysis se propaga a través del correo

Cómo eliminar la amenaza y los residuos que deja

Para eliminar la amenaza y los residuos creados por el ransomware podríamos utilizar diferentes metodologías y herramientas. En este caso optamos por el uso de powershell.

Con esta poderosa herramienta buscaremos finalizar procesos y eliminar archivos y llaves de registros.

Conociendo los paths absolutos y algunas strings podemos desarollar un script que busque y eliminie los residuos de la infeccción.

huella digital - Seguridad Informática. Nueva campaña de ransomware crysis se propaga a través del correo

Según la última edición del ESET Security Report 2017, el ransomware representa la principal preocupación para las empresas. En este sentido y para evitar ser víctima de un ransomware, se recomienda contar con una solución que proteja los servidores de correo; más teniendo en cuenta que el correo electrónico es el principal vector de infecciones. Además, evita divulgar cuentas de correo de manera pública; presta mucha atención a los contenidos de los mensajes que recibes; manten actualizado tu sistema operativo y software, y por último: realiza un buen backup de tu información.

Fuente: WELIVESECURITY

https://www.welivesecurity.com/la-es/2018/07/16/nueva-campana-ransomware-crysis-propaga-correo/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en “Soluciones de seguridad para préstamos de libros utilizando la huella digital”

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
http://www.inbiosys.com.co/

https://sites.google.com/site/inbiosys/
E-mail: comercial@inbiosys.com.co
PBX: (57)(4) 583 13 31
Celular: (57) 312 782 60 21

INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 81 No. 43 – 72 Oficina 1 103
Medellín Colombia

Para contactarnos por favor llenar el siguiente formulario


INBIOSYS - Ingeniería y Sistemas Biométricos

Anuncios

0 Responses to “Seguridad Informática. Nueva campaña de ransomware crysis se propaga a través del correo”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s




julio 2018
L M X J V S D
« Jun   Ago »
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 61 seguidores

paginas

Categorías

Actualizaciones de Twitter

Anuncios

A %d blogueros les gusta esto: