Alerta: Falso Correo de AFIP con Locky Virus

Fecha: 28 junio, 2016 Autor: JADM en: Seguridad

Se presenta como un correo correcto, enviado desde un remitente conocido, aunque con un detalle particular: servicios@afip.goV.ar debió ser servicios@afip.gob.ar, con b y no con v.

El segundo detalle que debería llamar la atención es que, si leen el texto en la imagen, el correo no dice nada específico. Se trata simplemente de la copia de un párrafo de la resolución. El primer link que aparece es real y si uno accede verá la página oficial de AFIP. Hasta aquí nada demasiado grave.

Pero el siguiente link, dónde invita a descargar la supuesta factura vencida, dice FacturaMesJunio.doc, pero apunta a  https://dl.dropboxusercontent.com/s/7l2de0…20k4o/facturaMesJunio.doc, un servidor de Dropbox??? Los muchachos de AFIP no son tan abiertos como para andar distribuyendo documentación mediante servidores foráneos de terceros.

El daño que se produzca a continuación, si uno accede a ese link, dependerá de que tan bien configurada esté la seguridad del equipo. Se abrirá el navegador y este deberá advertir que está por descargar un archivo no seguro. Si continúa, se abrirá el Word que debería bloquear el macro contenido en el archivo maligno y en todo caso preguntar si desea habilitarlo. Si usted, tozudo como pocos, sigue adelante y habilita, su sistema le advertiría que va a descargar un ejecutable que podría dañar el equipo. Si accede, está en el horno y ya puede ir yendo a buscar el backup más reciente de sus archivos, porque los contenidos en su PC, estarán perdidos.

Se trata de otra versión de Locky, esta vez personalizada para el público argentino, con redacción correcta, logos reales de una institución conocida – despreciable pero genuina – y un texto inócuo que no explica demasiado en relación a la advertencia (Factura Vencida!!) del asunto y da lugar a confusiones.

Por cierto… AFIP no envía facturas!

Pasos a seguir si recibió este mail

  1. Elimínelo
  2. Advierta inmediatamente a sus compañeros y empleados para que, si lo reciben, tambien lo eliminen
  3. Vaciar carpeta de Elementos Eliminados en su aplicación de correos
  4. Si se trata de un reenvío (por ejemplo, se lo envió un cliente suyo…), adviértalo sobre el contenído. Los insultos son opcionales y dependerán de la importancia del remitente

Si siguió el link y descargó el archivo

  1. Seguramente ya es tarde, pero puede intentar lo siguiente:
  2. Desconecte su equipo de la red (quite el cable de red o apague el wifi)
  3. Desconecte cualquier unidad USB
  4. Verifique en sus carpetas habituales si las extensiones de los archivos han sido modificadas (.locky) o en diferentes carpetas de su equipo existen archivos similares a HELP_DECRYPT, DECRYPT_INSTRUCTIONS o parecidos. Si es el caso, todos o al menos parte de sus archivos están perdidos.
  5. NO REINICIE EL EQUIPO. Las versiones actuales de Locky y sus parientes suelen encriptar lotes de archivo en cada reinicio.
  6. En este punto ya puede ir llamando a su técnico. Los archivos dañados son irrecuperables pero el equipo debe ser limpiado. El técnico decidirá entonces si es necesario formatear (eliminar todo el contenido) y reinstalar desde cero su sistema y aplicaciones o puede solucionarlo por otros medios menos cruentos.

Backup?

  1. No descanse en su antivirus. El más poderoso no puede prevenirlo contra lo que no conoce y los virus mutan a diario.
  2. La única prevención real contra esta y otras amenazas o probables catástrofes en su computadora, es un buen backup.
  3. El método ideal es conectar una unidad externa (disco usb, por ejemplo), realizar diariamente la copia de sus archivos y desconectar esa unidad al finalizar la copia. La copia debe ser guardada, en lo posible, en un lugar bien diferente a la computadora de trabajo (un robo, incendio, inundación, derrumbe, meteorito, la caída de un satélite o la extinción de los dinosaurios en su barrio lo dejaría sino sin ambas cosas: sin pc y sin backup).

 

Como siempre

  1. Ante la duda, NO. Esta es la regla general que bien puede aplicar en cualquier ámbito, aún ajeno a la informática.
  2. No haga click sobre links en correos. Mejor copiarlos y pegarlos directamente en su navegador. Probablemente descubra que el link pegado es bien distinto a lo que se leía en el correo y en ese caso debe cancelar la navegación inmediatamente.
  3. Un mail no esperado es preferible eliminarlo y consultar al remitente. En un caso como este, en todo caso dígale que lo abra él y le cuente el contenido. Más vale que la computadora destruída sea la ajena… (nótese que esta es una web de informática, no de filantropía…)

 

 

 

 

 

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInPin on PinterestShare on RedditShare on TumblrDigg thisEmail this to someonePrint this page