Parece que uno de los virus más peligrosos para los usuarios vuelve a atacar.
En el 2013 atacó con mucha fuerza, y a finales del 2014 también. Y ahora parece que ha vuelto… Se han detectado multitud de infecciones durante los ultimos dias de este programa que “secuestra” tus datos. Realmente el proceso que realiza es sencillo, entra a través de un Correo electrónico malicioso, y al iniciarse empieza a encriptar todos tus documentos (Doc, Pdf, etc..) con una clave privada que tan solo el creador del programa conoce. La seguridad de la encriptación es tan alta que no es posible desencriptarla con fuerza bruta o diccionarios, osea que tienes que ir a morir al creador del virus.
Por eso, te aparece una pantalla o un archivo con los pasos para desencriptar, normalmente, pagar una cantidad a través de una pasarela de pago “segura” (para él claro) y se recibirá la clave (bastante improbable).
El correo que esta infectando los PC suele llevar una dirección de remitente simulando ser “Correos” y en el mensaje se puede leer que hay un paquete o carta pendiente de recoger, y que se descargue el adjunto, que es un ZIP infectado.
Una vez infectado un proceso empieza a encriptar los datos y no hay marcha atrás, más que apagar el PC lo antes posible y desinfectarlo desde modo seguro o desde Linux. El archivo que infecta se suele guardar en C:/Windows, y la forma más rapida de encontrarlo es ejecutar MsConfig desde modo seguro y comprobar la ruta del archivo malicioso, y seguidamente eliminarlo.
Panda lanzó hace un tiempo una aplicación para comprobar un archivo encriptado con otro (una copia de seguridad limpia del mismo) que intenta compararlos y encontrar la clave de encriptación, aunque no suele funcionar, aquí os dejo un link para que lo probeis.
También podeis ver algunas herramientas del foro ElHacker, que pese a que el hilo es antiguo os podrían servir.
Un saludo!
0 comentarios