4 jul. 2016

Ransomware Cerber para Office 365

Según la empresa Avanan, se han encontrado nuevas variantes del ransomware Cerber que tienen como objetivo a los usuarios de Office 365 a través de un ataque que tiene la capacidad de saltarse las herramientas de seguridad de la suite ofimática.
Cerber se distribuye mediante correo electrónico con un adjunto autoejecutable que infecta su ordenador a través de las macros de Office. Si se descarga este archivo, reinicia el ordenador ejecutando el ransomware que cifra los ficheros de la víctima -los secuestra- y solicita un rescate de 1,24 bitcoins a cambio de liberarlos.

Cerber empezó a dar signos de actividad el pasado mes de marzo. Sin embargo, la campaña contra los usuarios de Office 365 empezó el 22 de junio y Microsoft empezó a bloquear los ficheros adjuntos maliciosos a partir del 23 de junio.

De momento no existe solución para descifrar los archivos. Si se dispone de una copia de seguridad se recomienda eliminar cuanto antes el malware del ordenador utilizando un antimalware legítimo actualizado. A continuación se podrán recuperar los datos de la copia de seguridad.
Para protegerse contra este y otros tipos de malware:
  • Desactivar las macros en Microsoft Office.
  • Realizar copias de seguridad y conservarlas en otra ubicación, separadas físicamente y sin conexión al ordenador. No utilizar copias de seguridad en la nube pues algunos tipos de malware pueden infectarlas también.
  • Concienciar a los empleados para no descargar ficheros adjuntos ni hacer clic en enlaces de mensajes de procedencia desconocida, aprendiendo a identificar mensajes de spam y phishing.
  • Instalar y mantener actualizada una solución antimalware.

Detalle técnico de Cerber

El usuario recibe un mensaje con un adjunto comprimido:

Si el usuario lo descarga, se reinicia el ordenador y se autoejecuta el malware cifrando los ficheros tipo .jpg, .doc, .raw, .avi, etc. a los que añade la extensión ".cerber". Después crea 3 tipos de archivo diferentes en cada carpeta que contenga archivos encriptados (#DECRYPT MY FILES#.txt, #DECRYPT MY FILES#.html, #DECRYPT MY FILES#.vbs) con instrucciones paso a paso para liberarlos (sólo con un software de los ciberdelincuentes y a través de la red TOR), en un plazo de tiempo.

Las instrucciones indican cómo pagar el rescate y amenazan que de no hacerse efectivo en el tiempo estipulado se duplicará. Este malware además de mostrar la notificación toma control del sistema de audio para leerla ("sus documentos, bases de datos y otros archivos importantes han sido encriptados").

Fuentes:

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!