Archivo de la categoría: Antivirus

  • -

Plaga de correos infectados en argentina

Desde principios de Noviembre y empeorando hacia estos días (Diciembre 2018), se masificó la recepción de correos electrónicos conteniendo archivos adjuntos que supuestamente corresponden a documentos de facturación, acuses de recibo importantes y diferentes modalidades de órdenes de pago. En general el contenido del correo está en ingles o mal traducido al español y el texto difiere según el “modelo” que te haya tocado en suerte. La constante es que todos incluyen un archivo adjunto en formato Zip, Doc, Docx o PDF.

Como se ve en la imagen, hasta hubo quien lo recibió en alemán y, sin entender una letra de lo que decía, siguió los links, descargó el paquete y en definitiva terminó abonando 3 horas de servicio técnico para solucionar el estropicio.

La prevención es sumamente sencilla y simplemente consta de aplicar las mismas reglas aconsejadas habitualmente:

  • Verificar el cuenta de correo del remitente: No sólo lo que se muestra, sino la dirección real, pasando el mouse por encima o con un click derecho en la mayoria de las aplicaciónes puede verse ese dato
  • No descargas adjuntos que uno no espera
  • Contener la curiosidad (que mató al gato y a mas de una PC)
  • Saber que no hay un tesoro al final del arco iris y nadie regala nada, mucho menos en Internet: si no esperabas un pago, no lo vas a recibir. Ni una herencia. Ni una transferencia de u$s 1000000 que por error llegó a tu cuenta.

Por último cualquier cosa que descargues, al menos verificala con tu antivirus antes de abrirla. Si el Office te dice que un archivo puede ser peligroso, creéle. Y si no conoces la fuente, eliminalo.

Si no, prepará la billetera y buscá un técnico para hacer limpiar el equipo.

Mas vale prevenir…

 


  • -
Estafa a clientes de correo de Fiberte

Amenazas a clientes de correo de Fibertel

Desde hace una semana o poco más, los usuarios de cuentas de correo de Fibertel estan recibiendo amenazas con el siguiente texto (casi idéntico en todos los casos)

¡Hola!

Puede que no me conozca y probablemente esté preguntándose por qué está recibiendo este correo electrónico (tucuenta@fibertel.com.ar), ¿correcto?
En este momento pirateé tu cuenta (Dominio). ¡Tengo pleno acceso a tu dispositivo!
De hecho, coloqué un malware en el sitio web de videos para adultos (material pornográfico) y usted sabe qué, usted visitó este sitio web para divertirse (ya sabe a qué me refiero).
Mientras estabas viendo clips de video,
su navegador de Internet comenzó a funcionar como un RDP (escritorio remoto) que tiene un registrador de teclas que me proporcionó acceso a su pantalla y también a su cámara web.
Inmediatamente después, mi programa de software reunió todos sus contactos desde su Messenger, redes sociales y correo electrónico.

¿Qué hice?
Hice un video de doble pantalla. La primera parte muestra el video que estabas viendo (tienes un buen gusto ya veces extraño), y la segunda parte muestra la grabación de tu cámara web.
¿Exactamente qué deberías hacer?

Bueno, creo que $200 es un precio justo para nuestro pequeño secreto. Realizará el pago con Bitcoin (si no lo sabe, busque “cómo comprar bitcoin” en Google).
Dirección de BTC: 115i2xierq98FX3iWmj7yXog4bwQx3ACVg
(Es muy sensible, así que cópielo y péguelo)

Nota:
Tienes 2 días para hacer el pago.
(Tengo un píxel específico en este mensaje de correo electrónico, y en este momento sé que ha leído este mensaje de correo electrónico).

Si no obtengo los BitCoins, definitivamente enviaré su grabación de video a todos sus contactos, incluidos familiares, compañeros de trabajo, etc.

Sin embargo, si pagas, destruiré el video inmediatamente.
Esta es la oferta no negociable, así que no pierda mi tiempo personal y el suyo respondiendo a este mensaje de correo electrónico.

La próxima vez, ¡ten cuidado!
¡Adiós!

Para evitar suicidios en masa, corridas y pedidos de S.O.S. al técnico a las 3:00am, lo primero que tienen que saber que es ABSOLUTAMETE FALSO.

No hay ninguna diferencia entre este correo o aquel que te avisaba que TE GANASTE UN VOLKSWAGEN 0KM!!. Es más, te diría que aquel estaba mejor hecho.

Muy probablemente se le haya filtrado a la empresa alguna base de datos que cayó en manos de un imbécil (o un grupo de ellos), por suerte con los conocimientos informáticos de un macaco labrón de pochoclo cuya única habilidad fue la de casi traducir correctamente el texto de un kit de estafas que bajó de alguna página berreta.

Lo único cierto de todo el texto es que probablemente hayas visitado alguna página porno, como el 99.9% de los usuarios de Internet. Lo demás es por lo menos infantil. Empezando por el rescate pedido (entre 100 y 300 bitcoins según el caso), evidentemente el torpe desconoce la realidad argentina actual: entre 25 y 30 millones de pesos talvez sea un monto que a un usuario particular se le haga un poquitín complicado de pagar, aún si juntara los ahorros de toda su familia y la de sus vecinos, en casi la mayoría de los casos. Un estafador “serio”, no comete ese error y pide montos “pagables”.

Por otro lado, la explicación técnica es la que podría balbucear mi hijo de 3 años. Para empezar, un pirata informático no explicaría sus métodos a las víctimas. Tal vez a sus pares, para alardear de su capacidad, pero no al estafado. No se suele dejar el manual de instrucciones de desactivación junto a la bomba…

En este caso no es necesario tomar NINGUNA MEDIDA específica. El correo es absolutamente inofensivo, no viene acompañado de virus, malware ni spyware de ninguna clase y simplemente es un intento infantil de asustar a la víctima y si, con mucha suerte, cayera en la casilla de un hipermillonario dispuesto a desembolsar ese dinero, hacerse de una fortuna. En todo caso, borrar el mail es más que suficiente. Incluso conservarlo no presenta ningun riesgo.

Sí, en cambio, sería interesando saber porqué lo están recibiendo casi todos los usuarios de un único servicio. Tal vez dentro de un par de años (plazo que suelen tomarse las empresas para reconocer estas cosas) , nos enteremos de que Fibertel cometió un pequeño desliz en el manejo de los datos de sus clientes y el listado de cuentas de correo se hizo público. Pero ese es otro tema…


  • -

Alerta por falla de seguridad en tu router

Ahora aparece en las noticias y empiezan a llover las consultas desesperadas. “Me están espiando?”. “Me están robando el wifi”. “Tengo que cambiar el router?”

No. O sí… la respuesta correcta es “podría ser”, pero no hay mayores motivos de preocupación. Este es un caso similar a las vulnerabilidades Meltdown y Spectre que afecta a los procesadores de casi la totalidad de las computadoras del mundo, descubierta no hace mucho y que no tiene solución por parte de los usuarios, pero tampoco implica que que sí o sí te vas a ver afectado personalmente. En ese caso la únicas soluciones viables vienen por el lado de mantener actualizados los sistemas operativos, siendo que los parches que mitigan el problema se van publicando y distribuyendo a través de los canales de actualización automática de cada sistema.

En el caso de la vulnerabilidad descubierta en un gran número de routers la actualización del firmware (el programa interno que los hace funcionar), no es algo que esté fácilmente al alcance del usuario promedio. Tampoco es el primer agujero que se haya descubierto, ni será el último, pero ciertamente es el que más popularidad ganó en los medios. Desde el 2014 se avisa periódicamente de alguna vulnerabilidad en routers, sea por un virus que modifica los permisos de acceso, o por fallas en los protocolos de seguridad WPA, WPS, WPA2….

Se trata en todos los casos de problemas de diseño de la seguridad de la programación, descubiertos por investigadores de seguridad de distintas empresas y la solución definitiva será esperar a que se vayan publicando nuevas versiones del firmware de cada dispositivo e ir actualizándolo oportunamente o, más a mano para el simple mortal, esperar que nuevos modelos con el problema corregido aparezcan en el mercado y cambiarlo.

En general, las distintas vulnerabilidades permitirían a un posible atacante tomar control del router y luego modificar su configuración para permitirle acceder libremente a nuestra red o bien, como este último caso que nos ocupa, facilitarle el control remoto y el manejo de las conexiones de modo que alguien pudiera tener a su disposición una enorme flota de dispositivos desde los cuales orquestar ataques a servidores, propagar virus o lo que se le ocurra.

El robo de información desde el router es relativo, porque la data más sensible (datos y contraseñas bancarias, el acceso a redes sociales, el uso de servicios de correo online conocidos, por ejemplo), navegan hoy a traves de HTTPS, encriptadas entre el usuario y el servicio en cuestión y su decodificación es, si no imposible, por lo menos sumamente compleja. Pero si el atacante se infiltrara en nuestra red local (la red de trabajo de la oficina, por ejemplo), podría tener acceso a los mismos recursos que cualquiera de los equipos locales, dependiendo de la configuración de la seguridad interna. En la mayoría de los casos domésticos no existe tal seguridad y podría ser un tema… pero es de esperarse que el interés de un hacker esté centrado en casos muy particulares y no en el usuario doméstico común. Podría darse, pero…

Solución

Por el momento, la solución es muy sencilla: periódicamente hay que apagar el router unos segundos y volverlo a encender para que se restablezca el sistema original y se elimine cualquier alteración no permanente que pudiera afectar el funcionamiento.

Si ya habías tirado el router a la basura, corré a buscarlo.

Hasta hoy, no hay modelos nuevos en el mercado que hayan corregido fehacientemente esta vulnerabilidad. Mañana veremos…

 


  • -

Archivos .locky? .arrow? @tutanota?? Virus!

De pronto no encontrás tus archivos habituales y en su lugar una larga lista de nombres alfanuméricos, todos terminados en .locky, .java, .arrow o casi cualquier otra, ya que algunas versiones de virus generan extensiones aleatorias en los archivos encriptados.

Según ESET, se trata del Win32/Filecoder.Locky.A. Para Microsoft, Ransom:Win32/Locky.A. Y cada marca de antivirus lo llama de una forma diferente, pero similar. Pa´los amigos: Locky. Pero vamos a llamarlos en general rasomware, para no enumerar una interminable lista de parientes de una familia que crece a diario. Ya pasó CryptoWall, WannaCry, Arrow y siguen las firmas.

La cuestión es que Locky suele venir empaquetado en un archivo .doc adjunto a un e-mail. Cuando intentás abrir el archivo aparece la habitual advertencia de seguridad de Office respecto a los posibles macros perjudiciales contenidos en archivos recibidos pero con la, tambien habitual, seguridad de que “no pasa nada”, le diste aceptar. Otras versiones se entregan dentro de archivos .pdf, .zip, ejecutables varios y, últimamente, encontramos casos (de la variedad que genera los archivos .java o .arrow) que penetra por fuerza bruta en equipos con el acceso por escritorio remoto habilitado y cuyas contraseñas no son del todo seguras.

El caso es que pocos segundos después  del contagio, tu fondo de pantalla pudo mutar en un mensaje que, sintetizando, te pide dinero a cambio de tu información perdida. Algo así:

locky-rescate

No te preocupes si te faltó esta parte. Parece que Locky y el resto de sus primos usan para este último acto de su obra, porciones de programación archiconocidas por casi todos los antivirus y al intentar mostrar el cartelito, el sistema de seguridad lo reprime. Tarde, porque el daño a esta altura ya fue hecho.

Tengo antivirus? Entonces mi antivirus no sirve?

Si. Bueno… no en este caso, pero sí. Valga como explicación la respuesta dada por el soporte de AVG a uno de sus clientes (pagos!):

AvinashAvinash (AVG Technologies) 

Hello Richard,
We apologize for the inconvenience caused. AVG blocks many of them but unfortunately you got what is called a “zero day” vulnerability — in other words, you were infected by a very new form of the malware before it had been reported to us and so before we could add its signature to our database and block it.
When AVG detects the malware, it will remove it from your PC, but this will not de-crypt your files.If you have backup copies, you should use them. If you do not have backups, please start to keep multiple backups. Thank you.
De nuevo sintetizando: “Disculpame che, pero hacemos lo que podemos”. Pudo haber dicho “a llorar al campito” o utilizar alguna frase Maradoniana que no voy a transcribir, pero hablando (escribiendo) en serio, lo cierto es que los antivirus responden más o menos rápido a los reportes de virus que van recibiendo. Descubro un virus hoy, mañana con suerte sale la actualización que te protege. Pero, hoy, estás expuesto. Otra parte importante del mensaje, muy clarificadora de la situación por cierto, es que si tenés backup podés recuperar tus archivos desde allí. Si no los tenías, es un buen momento para empezar a tenerlos, pero la información la perdiste. Chau. Dice tambien que AVG no desencripta los archivos. Y, aunque no lo dice aquí, tampoco los desencripta ESET, ni Norton, ni Security Essentials, ni Defender, ni Dios.
Tal como pasó con Cryptolocker ( Sin backup, podés perder todos tus archivos en cualquier momento. ) , virus de la misma familia de la cual muy probablemente descienda este bastardo, es posible que dentro de un par de años aparezca la herramienta para recuperar, aunque sea parcial y defectuosa, la información perdida. Pero por el momento es imposible.
Sólo en esta última semana me ha tocado lidiar con dos casos, en empresas desconectadas entre sí. Proyectando un poco el porcentaje respecto a mi clientela, puedo sospechar que la cantidad de infectados ya debe ser, o lo será pronto, abrumadora.
De hecho, ahora que estoy editando este post, debo decir que en los últimos dos años los casos se multiplicaron. Más llamativo, pero no demasiado inesperado, muchos de los casos afectaron varias veces a las mismas víctimas. Esto me convence de que aunque los virus evolucionan y las técnicas de contagio se vuelven más y más sofisticadas, el punto de acceso sigue siendo un usuario con conductas negligentes, despreocupadas o por lo menos ingenuas. Lo leí por allí y lo repito hasta el hartazgo: el peor virus de tu compu muchas veces está entre el teclado y la silla.
La buena noticia es que, por lo menos en los casos que me tocaron, Locky parece menos devastador que sus primos Cryptolocker y CriptoWall. Estos encriptaban absolutamente todo el contenido de cuanta unidad pudieran acceder en un brevísimo tiempo: documentos, planillas, imágenes, ejecutables y bases de datos en discos internos, externos, unidades de red y lo que fuese a lo que tuvieran acceso desde el equipo infectado. Locky, en cambio, parece haber encriptado sólo un par de centenares de archivos en las carpetas que estaban en uso en el momento de la infección. Sin embargo, según la documentación recabada hasta el momento, busca y encripta los archivos con las siguientes extensiones:
  • .123
  • .602
  • .3dm
  • .3ds
  • .3g2
  • .3gp
  • .7z
  • .aes
  • .ARC
  • .asc
  • .asf
  • .asm
  • .asp
  • .avi
  • .bak
  • .bat
  • .bmp
  • .brd
  • .c
  • .cgm
  • .class
  • .cmd
  • .cpp
  • .crt
  • .cs
  • .csr
  • .CSV
  • .db
  • .dbf
  • .dch
  • .dif
  • .dip
  • .djv
  • .djvu
  • .DOC
  • .docb
  • .docm
  • .docx
  • .DOT
  • .dotm
  • .dotx
  • .fla
  • .flv
  • .frm
  • .gif
  • .gpg
  • .gz
  • .h
  • .hwp
  • .ibd
  • .jar
  • .java
  • .jpeg
  • .jpg
  • .js
  • .key
  • .lay
  • .lay6
  • .ldf
  • .m3u
  • .m4u
  • .max
  • .mdb
  • .mdf
  • .mid
  • .mkv
  • .mml
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .ms11
  • .ms11 (Security copy)
  • .MYD
  • .MYI
  • .NEF
  • .odb
  • .odg
  • .odp
  • .ods
  • .odt
  • .otg
  • .otp
  • .ots
  • .ott
  • .p12
  • .PAQ
  • .pas
  • .pdf
  • .pem
  • .php
  • .pl
  • .pl
  • .png
  • .pot
  • .potm
  • .potx
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .PPT
  • .pptm
  • .pptx
  • .psd
  • .qcow2
  • .rar
  • .raw
  • .rb
  • .RTF
  • .sch
  • .sh
  • .sldm
  • .sldx
  • .slk
  • .sql
  • .SQLITE3
  • .SQLITEDB
  • .stc
  • .std
  • .sti
  • .stw
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxi
  • .sxm
  • .sxw
  • .tar
  • .tar.bz2
  • .tbk
  • .tgz
  • .tif
  • .tiff
  • .txt
  • .uop
  • .uot
  • .vb
  • .vbs
  • .vdi
  • .vmdk
  • .vmx
  • .vob
  • .wav
  • .wb2
  • .wk1
  • .wks
  • .wma
  • .wmv
  • .xlc
  • .xlm
  • .XLS
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .xml
  • .zip

(hubiese sido más eficiente poner “casi todos“, pero detallados así queda como más escalofriante, no? )

Atención, porque Locky está programado para repetir el proceso cada vez que se inicie el equipo o por lo menos hasta que detecta que encriptó el último archivo disponible y ahí se desactiva. A cada reinicio, más archivos dañados hasta que logra su cometido. Entonces, antes de seguir toqueteando y reiniciando, vamos a lo importante.
Pero ya podés dejar de sonreir: la buena noticia termina ahí. Sus primos se propagan por las unidades de red, discriminan el tipo de archivo que van a encriptar, para sólo perder tiempo en aquellos cuya destrucción cause más daño (mdb, exe, xls, doc… bah…lo que usás) despreocupándose de .ini, .cfg y dlls que de todas formas por sí sólas no te van a servir de mucho).
Y hasta ahora, las herramientas de desencriptado de los archivos se publican tarde y en general luego de que los propios creadores del virus publican las claves e cifrados de aquellas versiones de virus que ya no piensan usar… muy probablemente para desalentar a la competencia que hubiese comenzado a aprovecharse de su negocio, tratando de lucrar con los virus que ellos crearon con tanto esfuerzo… ponéle.

Eliminando el virus

Si bien el daño es irreparable, eliminar el virus es bastante sencillo.

  1. Como primera medida, para no empeorar las cosas, es importante desconectar, apenas se descubre el problema, cualquier unidad de almacenamiento externo (discos, pendrives…) e incluso la red, especialmente si se maneja en un entorno que comparte archivos mediante unidades de red.
  2. Mediante el administrador de tareas (pulsando las teclas Windows + R tipeando luego en la ventana que aparece el comando taskmgr.exe), en la solapa Procesos dar click derecho sobre cualquier proceso desconocido/sospechoso y Finalizar tarea. Especial atención a los procesos con nombres alfanuméricos, aunque en uno de los casos tratados estaba disfrazado como svchost.exe, un proceso normal de Windows que es habitual además aparezca listado muchísimas veces.
  3. Haciendo uso de Hijackthis (o alguno similar), eliminar cualquier entrada tipo 04 (Run / Run Once / Global Startup) que haga referencia a Locky o svchost.exe (no confundir con las entradas tipo 023 en las que encontrarías decenas de svchost.exe legítimos del sistema!)
  4. En el panel de control, modificar las Opciones de Carpeta / Opciones del Explorador, para mostrar los archivos ocultos y desocultar los archivos protegidos de sistema.
  5. Buscar cualquier carpeta sospechosa y eliminarla. En las dos infecciones que traté el componente principal del virus parecia estar en la carpeta boostinterprocesses dentro de Program Data. Y esto me llamó particularmente la atención, especialmente porque se trataba en ambos casos de Windows XP y la carpeta Program Data recien apareció en Windows 7… Pero esta ubicación seguramente no es exclusiva porque la info ya disponible en la web indica muchísimas ubicaciones diferentes (carpetas c:\temp, %temp%, App Data\Local\[nombre alfanumérico aleatorio], …)
  6. Quitar el disco y conectarlo a un equipo sano y con un sistema operativo actualizado (No XP!!!!!) y lo mismo para el antivirus. Hacer desde esa computadora en examen completo del disco con su antivirus.
  7. Descargar MalwareBytes , instalarlo en este equipo limpio, esperar todas las actualizaciones y realizar un examen completo del disco afectado.
  8. Desactivar inmediatamente cualquier herramienta de sincronización en la nube: Google Drive Sync and BackUp, OneDrive, iCloud, DropBox, la que sea: cuando el virus ataca la carpeta de almacenamiento en tu PC, el motor de sincronización llevará la peste a la nube y la recuperación posterior puede complicarse mucho si no es que directamente se vuelve imposible.

Esto sería lo mínimo imprescindible como para salir adelante. Pero siendo que te quedará infinidad de basura encriptada y el virus parece bastante elaborado y mutante la mejor solución es, a mi entender, rescatar en un backup lo que no haya sido destruído, formatear y reinstalar todo desde cero.

Si todavía no te tocó, tené en cuenta que…

  1. No abras archivos adjuntos que no esperabas, de remitentes desconocidos o aún de súper conocidos y confiables que no hayas revisado antes con un buen antivirus. Si te infectaste, obviamente fallaste este punto. No importa lo que digas: vos sabés que te equivocaste feo…
  2. Desactivar los macros de Office por default y sólo ejecutarlos en archivos conocidos. Nunca permitir macros en un archivo adjunto a un correo o descargado de internet sin antes asegurarse en un 100% su confiabilidad.
  3. Realizar copias de seguridad diarias y mantener al menos una copia offline (en una unidad externa que, finalizado el backup, se desconecta del equipo) con la mayor frecuencia posible. El backup contenido en un disco conectado al equipo en el momento de la infección, probablemente tambien sea afectado.
  4. Mantener el sistema operativo constantemente actualizado. Si tu copia no original de Windows no admite actualizaciones, bueno… solucionalo ya.
  5. Windows XP ya no recibe actualizaciones de seguridad desde hace rato largo, estuvo en el mercado casi 20 años y los delincuentes lo pueden manipular como se les dé la gana. Si tus aplicaciones no toleran la actualización del sistema operativo buscá alternativas inmediatamente: basar tu empresa en un sistema antiguo te expone a daños irreparables.
  6. Cualquier antivirus conocido es bueno: Kaspersky, Panda, Avira, AVG, Avast, Norton, Microsoft, Eset… cada uno con sus ventajas y desventajas respecto al rendimiento de la computadora, precio, abuso de publicidades y ofertas en sus versiones gratuitas… pero elegí uno y mantenelo siempre actualizado. Está probado (de hecho por eso se origina el tema de esta nota) que ninguno es infalible y TODOS son vulnerables a las nuevas variantes de virus especialmente los primeros días de su aparición (zero-day), por lo que caemos de vuelta al punto 5: BACKUP. Nunca son suficientes. Lo que abunda no sobra.

Valga decir que, gracias a los imbéciles que pagan el rescate, este tipo de virus se hace cada vez más rentable para los delincuentes y vamos a convivir cada vez con más variedades, seguramente mejor elaboradas, más peligrosas y mucho más dañinas.

Backup. O alpiste…

 

 

 


    Buscar en JADM

    Biblioteca