Cryptolocker aka Torrentlocker ataca en España usando un supuesto email de Correos

0

Nuestros colaboradores de Avira han estado investigando un nuevo fenómeno relacionado con el Ramsonware. Se trata de la reaparición de una “supuesta” variante de Cryptolocker que llega dispuesto a atacanos vía email en nuestro buzón, simulando ser un aviso de Correos y Telégrafos.

¿Es Cryptolocker realmente?

La respuesta es no. Para despistar, los creadores de este malware, en realidad TorrentLocker, muestran un aviso referente a Cryptolocker al infectarnos. Por tanto hablamos de una variante nueva de TorrentLocker y no de Cryptolocker. Los emails proceden del siguiente dominio:

Esta mutación de TorrentLocker ya no ofrece el débil sistema de cifrado RSA 426, que permitía recuperar los archivos posteriormente. En teoría, habrían introducido una variante para cada fichero, usando para ello el mecanismo AES con patrón variable. Esto impide el descifrado de los archivos con las diferentes herramientas que han ido apareciendo en la red. 

Los productos de Avira detectan este ransomware con sus actualizaciones de firmas recibidas el pasado 3 de Diciembre.

Pasos durante la infección

  • El email tiene un aspecto similar a este:

Aviso falso de correos enviado por los creadores de TorrentLocker

  • Una vez el usuario sigue las instrucciones del correo y, ojo, tiene una dirección IP de orígen española, es dirigido a una página como esta

Página de seguimiento de envíos de Correos - Torrentlocker

En caso contrario, es llevado a Google.

  • Por último, cuando el usuario se sitúa sobre el campo para rellenar el captcha, es cuando se produce la descarga del troyano en formato ZIP al equipo.
  • Otros dominios como Correos-online.org se han registrado en los últimos días con el mismo fin.

Mecanismos de desinfección

Torrentlocker se auto-protege con un subproceso que hace de vigilante. Esta variante de TorrentLocker genera archivos aleatorios en las siguientes carpetas de sistema:

  1. %temp (Archivos temporales)
  2. Program Data

Desde Avira ofrecen las siguientes recomendaciones para recuperar la normalidad en el equipo:

  • Realizar una imagen del sistema infectado y sus archivos. Quizá aparezcan próximamente herramientas que consigan devolvernos los archivos.
  • Formatear el equipo.
  • Si no queréis formatear, podréis desinfectar el sistema con herramientas como:

¿Es posible recuperar los ficheros?

Actualmente, este falso Cryptolocker (en realidad TorrentLocker) no permite que recuperemos los archivos, pues no existe herramienta capaz.

Queda, como siempre en estos casos y si tenemos suerte, intentar restaurar los archivos por medio de las Shadow Copies o copias duplicadas que Windows hace por defecto para restaurar a versiones anteriores de archivos. Es el sistema combinado VSS y VSC, que es el que a su vez provee los archivos que Windows salva en sus “puntos de restauración”.

Shadow Copy de Windows

Para acceder a las Versiones anteriores de archivos (Shadow Copies) de Windows:

  • Usaremos el Explorador de Windows, como se muestra en la imagen anterior.
  • También podemos descargar la herramienta Shadow Explorer

NOTA: Esto o haremos conectando el disco en un equipo que NO tenga acceso a nuestra red doméstica o de oficina.

Como dicen los compañeros de SecuritybyDefault (podéis seguir su hilo aquí) puede haber gente cuya urgencia o el daño que les suponga la pérdida de archivos llegue a justificar el pago del ransom o rescate. Es algo que no recomendamos pero, por si acaso, os diremos que se paga con Bitcoins y el centro comercial ABC Serrano es el mejor sitio para conseguir un buen cambio.

Seguiremos informando. Agradecemos a Teamof6Global, Avira y SecuritybyDefault la ayuda prestada.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR