Nou atac massiu del CryptoLocker en els sistemes informàtics

Cryptolocker és un malware de tipus troià que afecta a ordinadors que treballen amb sistema operatiu Windows. Habitualment es distribueix per correu electrònic mitjançant un arxiu adjunt.

La darreres versions han aparegut durant la darrera setmana del mes de març – principis d’abril del 2015, i venen mitjançant un correu electrònic de l’oficina de Correus d’España o de l’administració pública.

cryptolocker-correos

Una vegada activat el malware dins del ordinador que ha obert el correu, aquest encripta certs arxius (.doc, .xls, .pdf, .jpg, .dwg, .txt, .pst, .vmdk, …) del disc dur local del ordinador i també de les unitats de xarxa que té accés aquest equip.

La encriptació utilitza una criptogràfia de clau pública RSA, i es guarda la clau privada en els servidors de malware que han realitzat l’acció d’atac.

Una vegada encriptades les dades aquestes no són accessibles per el usuari, i el malware deixa un missatge en l’ordinador infectat amb les indicacions per recuperar el “segrest” de les dades. Aquesta recuperació sempre esta associada al pagament d’una rescat amb una data límit, si no es realitza el pagament la clau privada es destruïda i les dades són irrecuperables.

No conec de cap cas a nivell personal i professional que el pagament d’aquest “rescat” hagi comportat la recuperació de les dades, i molts experts no aconsellant realitzar el pagament perquè les garanties de solucionar el problema son mínimes.

La solució habitual per restablir les dades es la recuperació des de les còpies de seguretat, sempre i quant aquestes no hagin estat afectades per el malware.

Es molt important tenir un sistema de còpies en la nostra infraestructura TIC, i el més important es de disposar sempre d’una còpia externa que ens permeti garantir que aquesta esta “salvada” del “segrest”

De la mateixa manera, es necessari tenir els sistemes operatius actualitzats, amb versions actuals i disposar d’un sistema de protecció d’antivirus professional. Cal tenir en compte, que molts sistemes de protecció no detectant aquests tipus de malware perquè són versions noves i encara no existeix del antídot fins desprès d’unes hores o dies.

Molts d’aquests atacs massius es basen amb el que es coneix com un “atac del dia zero” i consisteix en realitzar l’atac aprofitant alguna vulnerabilitat dels sistemes de seguretat que encara no ha estat solucionada

Avui en dia, el focus de perill en les infraestructures TIC són els propis usuaris que realitzen accions amb un excés de confiança, o bé per utilitzar els recursos de la empresa d’una forma inadequada i/o negligent.