Nuevo CryptoLocker mediante falso aviso de Correos

Nuevo CryptoLocker hace aparición en España. Parece difundirse mediante un correo electrónico que parece totalmente legítimo en el que se indica que tenemos esperándonos un envío y que hagamos el seguimiento en su web. Incluso lleva un enlace que parece legítimo al dominio correos24.net (falso dominio malicioso).

Virus cifrado de archivos

Esta URL ha sido bloqueada ya por SOPHOS porque alberga el malware. También con fecha de ayer, día 3 de diciembre a partir de las 18:00h Sophos detecta y bloquea esta nueva versión del malware. Estaremos atentos y seguiremos informando.

La herramienta aparecida hace unos meses para rescatar a víctimas del Cryptolocker no funcionará. Dado que los ciber delincuentes habrán tomado contramedidas contra esta herramienta, aunque solo sea cambiado la clave de cifrado.

Si eres víctima de esto, lo mejor que puedes hacer es formatear los equipos y restaurar la copia de seguridad. Recordamos que no se debe pagar rescate alguno por los datos. Además de que no se tienen ninguna garantía de recuperarlos realmente, esto sólo fomenta el ciberdelito y actúa como motivación para futuros malware y secuestro de información.

Como se aprecia, van PERSONALIZADOS con nombres y apellidos de las personas a las que pertenecen los correos.
Desde aquí instamos a bloquear el dominio correos24.net y recomendamos instalar Anti Ransom para prevenir infecciones.Si se hace click en el enlace que propone el correo, llegamos a una URL tal que así:http://correos24.net/login.php?id=76264463456Y, si se cumple la máxima de que la IP sea Española (he probado con variantes de varios países) llegamos a una URL tal que así:http://correos-online.org/5a99b6186605843b7fdbc19400439af4

Y luce de esta forma:

En caso de que la IP sea de otro país, nos lleva a Google.

Y al rellenar dicho captcha, se descarga al equipo un fichero ZIP que contiene el troyano.

El dominio correos-online.org se ha registrado igualmente el 2 de Diciembre:

Domain Name:CORREOS-ONLINE.ORG
Domain ID: D174700842-LROR
Creation Date: 2014-12-02T13:28:53Z
Updated Date: 2014-12-02T13:28:54Z
Registry Expiry Date: 2015-12-02T13:28:53Z
Sponsoring Registrar:null (R2011-LROR)
Sponsoring Registrar IANA ID: 1564

Se puede encontrar información técnica más detallada en el Blog de Security By Default.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *