Alerta: Falso Correo de AFIP con Locky Virus

  • -

Alerta: Falso Correo de AFIP con Locky Virus

Se presenta como un correo correcto, enviado desde un remitente conocido, aunque con un detalle particular: servicios@afip.goV.ar debió ser servicios@afip.gob.ar, con b y no con v.

El segundo detalle que debería llamar la atención es que, si leen el texto en la imagen, el correo no dice nada específico. Se trata simplemente de la copia de un párrafo de la resolución. El primer link que aparece es real y si uno accede verá la página oficial de AFIP. Hasta aquí nada demasiado grave.

Pero el siguiente link, dónde invita a descargar la supuesta factura vencida, dice FacturaMesJunio.doc, pero apunta a  https://dl.dropboxusercontent.com/s/7l2de0…20k4o/facturaMesJunio.doc, un servidor de Dropbox??? Los muchachos de AFIP no son tan abiertos como para andar distribuyendo documentación mediante servidores foráneos de terceros.

El daño que se produzca a continuación, si uno accede a ese link, dependerá de que tan bien configurada esté la seguridad del equipo. Se abrirá el navegador y este deberá advertir que está por descargar un archivo no seguro. Si continúa, se abrirá el Word que debería bloquear el macro contenido en el archivo maligno y en todo caso preguntar si desea habilitarlo. Si usted, tozudo como pocos, sigue adelante y habilita, su sistema le advertiría que va a descargar un ejecutable que podría dañar el equipo. Si accede, está en el horno y ya puede ir yendo a buscar el backup más reciente de sus archivos, porque los contenidos en su PC, estarán perdidos.

Se trata de otra versión de Locky, esta vez personalizada para el público argentino, con redacción correcta, logos reales de una institución conocida – despreciable pero genuina – y un texto inócuo que no explica demasiado en relación a la advertencia (Factura Vencida!!) del asunto y da lugar a confusiones.

Por cierto… AFIP no envía facturas!

Pasos a seguir si recibió este mail

  1. Elimínelo
  2. Advierta inmediatamente a sus compañeros y empleados para que, si lo reciben, tambien lo eliminen
  3. Vaciar carpeta de Elementos Eliminados en su aplicación de correos
  4. Si se trata de un reenvío (por ejemplo, se lo envió un cliente suyo…), adviértalo sobre el contenído. Los insultos son opcionales y dependerán de la importancia del remitente

Si siguió el link y descargó el archivo

  1. Seguramente ya es tarde, pero puede intentar lo siguiente:
  2. Desconecte su equipo de la red (quite el cable de red o apague el wifi)
  3. Desconecte cualquier unidad USB
  4. Verifique en sus carpetas habituales si las extensiones de los archivos han sido modificadas (.locky) o en diferentes carpetas de su equipo existen archivos similares a HELP_DECRYPT, DECRYPT_INSTRUCTIONS o parecidos. Si es el caso, todos o al menos parte de sus archivos están perdidos.
  5. NO REINICIE EL EQUIPO. Las versiones actuales de Locky y sus parientes suelen encriptar lotes de archivo en cada reinicio.
  6. En este punto ya puede ir llamando a su técnico. Los archivos dañados son irrecuperables pero el equipo debe ser limpiado. El técnico decidirá entonces si es necesario formatear (eliminar todo el contenido) y reinstalar desde cero su sistema y aplicaciones o puede solucionarlo por otros medios menos cruentos.

Backup?

  1. No descanse en su antivirus. El más poderoso no puede prevenirlo contra lo que no conoce y los virus mutan a diario.
  2. La única prevención real contra esta y otras amenazas o probables catástrofes en su computadora, es un buen backup.
  3. El método ideal es conectar una unidad externa (disco usb, por ejemplo), realizar diariamente la copia de sus archivos y desconectar esa unidad al finalizar la copia. La copia debe ser guardada, en lo posible, en un lugar bien diferente a la computadora de trabajo (un robo, incendio, inundación, derrumbe, meteorito, la caída de un satélite o la extinción de los dinosaurios en su barrio lo dejaría sino sin ambas cosas: sin pc y sin backup).

 

Como siempre

  1. Ante la duda, NO. Esta es la regla general que bien puede aplicar en cualquier ámbito, aún ajeno a la informática.
  2. No haga click sobre links en correos. Mejor copiarlos y pegarlos directamente en su navegador. Probablemente descubra que el link pegado es bien distinto a lo que se leía en el correo y en ese caso debe cancelar la navegación inmediatamente.
  3. Un mail no esperado es preferible eliminarlo y consultar al remitente. En un caso como este, en todo caso dígale que lo abra él y le cuente el contenido. Más vale que la computadora destruída sea la ajena… (nótese que esta es una web de informática, no de filantropía…)

 

 

 

 

 


  • -

Archivos .locky? .arrow? @tutanota?? Virus!

De pronto no encontrás tus archivos habituales y en su lugar una larga lista de nombres alfanuméricos, todos terminados en .locky, .java, .arrow o casi cualquier otra, ya que algunas versiones de virus generan extensiones aleatorias en los archivos encriptados.

Según ESET, se trata del Win32/Filecoder.Locky.A. Para Microsoft, Ransom:Win32/Locky.A. Y cada marca de antivirus lo llama de una forma diferente, pero similar. Pa´los amigos: Locky. Pero vamos a llamarlos en general rasomware, para no enumerar una interminable lista de parientes de una familia que crece a diario. Ya pasó CryptoWall, WannaCry, Arrow y siguen las firmas.

La cuestión es que Locky suele venir empaquetado en un archivo .doc adjunto a un e-mail. Cuando intentás abrir el archivo aparece la habitual advertencia de seguridad de Office respecto a los posibles macros perjudiciales contenidos en archivos recibidos pero con la, tambien habitual, seguridad de que “no pasa nada”, le diste aceptar. Otras versiones se entregan dentro de archivos .pdf, .zip, ejecutables varios y, últimamente, encontramos casos (de la variedad que genera los archivos .java o .arrow) que penetra por fuerza bruta en equipos con el acceso por escritorio remoto habilitado y cuyas contraseñas no son del todo seguras.

El caso es que pocos segundos después  del contagio, tu fondo de pantalla pudo mutar en un mensaje que, sintetizando, te pide dinero a cambio de tu información perdida. Algo así:

locky-rescate

No te preocupes si te faltó esta parte. Parece que Locky y el resto de sus primos usan para este último acto de su obra, porciones de programación archiconocidas por casi todos los antivirus y al intentar mostrar el cartelito, el sistema de seguridad lo reprime. Tarde, porque el daño a esta altura ya fue hecho.

Tengo antivirus? Entonces mi antivirus no sirve?

Si. Bueno… no en este caso, pero sí. Valga como explicación la respuesta dada por el soporte de AVG a uno de sus clientes (pagos!):

AvinashAvinash (AVG Technologies) 

Hello Richard,
We apologize for the inconvenience caused. AVG blocks many of them but unfortunately you got what is called a “zero day” vulnerability — in other words, you were infected by a very new form of the malware before it had been reported to us and so before we could add its signature to our database and block it.
When AVG detects the malware, it will remove it from your PC, but this will not de-crypt your files.If you have backup copies, you should use them. If you do not have backups, please start to keep multiple backups. Thank you.
De nuevo sintetizando: “Disculpame che, pero hacemos lo que podemos”. Pudo haber dicho “a llorar al campito” o utilizar alguna frase Maradoniana que no voy a transcribir, pero hablando (escribiendo) en serio, lo cierto es que los antivirus responden más o menos rápido a los reportes de virus que van recibiendo. Descubro un virus hoy, mañana con suerte sale la actualización que te protege. Pero, hoy, estás expuesto. Otra parte importante del mensaje, muy clarificadora de la situación por cierto, es que si tenés backup podés recuperar tus archivos desde allí. Si no los tenías, es un buen momento para empezar a tenerlos, pero la información la perdiste. Chau. Dice tambien que AVG no desencripta los archivos. Y, aunque no lo dice aquí, tampoco los desencripta ESET, ni Norton, ni Security Essentials, ni Defender, ni Dios.
Tal como pasó con Cryptolocker ( Sin backup, podés perder todos tus archivos en cualquier momento. ) , virus de la misma familia de la cual muy probablemente descienda este bastardo, es posible que dentro de un par de años aparezca la herramienta para recuperar, aunque sea parcial y defectuosa, la información perdida. Pero por el momento es imposible.
Sólo en esta última semana me ha tocado lidiar con dos casos, en empresas desconectadas entre sí. Proyectando un poco el porcentaje respecto a mi clientela, puedo sospechar que la cantidad de infectados ya debe ser, o lo será pronto, abrumadora.
De hecho, ahora que estoy editando este post, debo decir que en los últimos dos años los casos se multiplicaron. Más llamativo, pero no demasiado inesperado, muchos de los casos afectaron varias veces a las mismas víctimas. Esto me convence de que aunque los virus evolucionan y las técnicas de contagio se vuelven más y más sofisticadas, el punto de acceso sigue siendo un usuario con conductas negligentes, despreocupadas o por lo menos ingenuas. Lo leí por allí y lo repito hasta el hartazgo: el peor virus de tu compu muchas veces está entre el teclado y la silla.
La buena noticia es que, por lo menos en los casos que me tocaron, Locky parece menos devastador que sus primos Cryptolocker y CriptoWall. Estos encriptaban absolutamente todo el contenido de cuanta unidad pudieran acceder en un brevísimo tiempo: documentos, planillas, imágenes, ejecutables y bases de datos en discos internos, externos, unidades de red y lo que fuese a lo que tuvieran acceso desde el equipo infectado. Locky, en cambio, parece haber encriptado sólo un par de centenares de archivos en las carpetas que estaban en uso en el momento de la infección. Sin embargo, según la documentación recabada hasta el momento, busca y encripta los archivos con las siguientes extensiones:
  • .123
  • .602
  • .3dm
  • .3ds
  • .3g2
  • .3gp
  • .7z
  • .aes
  • .ARC
  • .asc
  • .asf
  • .asm
  • .asp
  • .avi
  • .bak
  • .bat
  • .bmp
  • .brd
  • .c
  • .cgm
  • .class
  • .cmd
  • .cpp
  • .crt
  • .cs
  • .csr
  • .CSV
  • .db
  • .dbf
  • .dch
  • .dif
  • .dip
  • .djv
  • .djvu
  • .DOC
  • .docb
  • .docm
  • .docx
  • .DOT
  • .dotm
  • .dotx
  • .fla
  • .flv
  • .frm
  • .gif
  • .gpg
  • .gz
  • .h
  • .hwp
  • .ibd
  • .jar
  • .java
  • .jpeg
  • .jpg
  • .js
  • .key
  • .lay
  • .lay6
  • .ldf
  • .m3u
  • .m4u
  • .max
  • .mdb
  • .mdf
  • .mid
  • .mkv
  • .mml
  • .mov
  • .mp3
  • .mp4
  • .mpeg
  • .mpg
  • .ms11
  • .ms11 (Security copy)
  • .MYD
  • .MYI
  • .NEF
  • .odb
  • .odg
  • .odp
  • .ods
  • .odt
  • .otg
  • .otp
  • .ots
  • .ott
  • .p12
  • .PAQ
  • .pas
  • .pdf
  • .pem
  • .php
  • .pl
  • .pl
  • .png
  • .pot
  • .potm
  • .potx
  • .ppam
  • .pps
  • .ppsm
  • .ppsx
  • .PPT
  • .pptm
  • .pptx
  • .psd
  • .qcow2
  • .rar
  • .raw
  • .rb
  • .RTF
  • .sch
  • .sh
  • .sldm
  • .sldx
  • .slk
  • .sql
  • .SQLITE3
  • .SQLITEDB
  • .stc
  • .std
  • .sti
  • .stw
  • .svg
  • .swf
  • .sxc
  • .sxd
  • .sxi
  • .sxm
  • .sxw
  • .tar
  • .tar.bz2
  • .tbk
  • .tgz
  • .tif
  • .tiff
  • .txt
  • .uop
  • .uot
  • .vb
  • .vbs
  • .vdi
  • .vmdk
  • .vmx
  • .vob
  • .wav
  • .wb2
  • .wk1
  • .wks
  • .wma
  • .wmv
  • .xlc
  • .xlm
  • .XLS
  • .xlsb
  • .xlsm
  • .xlsx
  • .xlt
  • .xltm
  • .xltx
  • .xlw
  • .xml
  • .zip

(hubiese sido más eficiente poner “casi todos“, pero detallados así queda como más escalofriante, no? )

Atención, porque Locky está programado para repetir el proceso cada vez que se inicie el equipo o por lo menos hasta que detecta que encriptó el último archivo disponible y ahí se desactiva. A cada reinicio, más archivos dañados hasta que logra su cometido. Entonces, antes de seguir toqueteando y reiniciando, vamos a lo importante.
Pero ya podés dejar de sonreir: la buena noticia termina ahí. Sus primos se propagan por las unidades de red, discriminan el tipo de archivo que van a encriptar, para sólo perder tiempo en aquellos cuya destrucción cause más daño (mdb, exe, xls, doc… bah…lo que usás) despreocupándose de .ini, .cfg y dlls que de todas formas por sí sólas no te van a servir de mucho).
Y hasta ahora, las herramientas de desencriptado de los archivos se publican tarde y en general luego de que los propios creadores del virus publican las claves e cifrados de aquellas versiones de virus que ya no piensan usar… muy probablemente para desalentar a la competencia que hubiese comenzado a aprovecharse de su negocio, tratando de lucrar con los virus que ellos crearon con tanto esfuerzo… ponéle.

Eliminando el virus

Si bien el daño es irreparable, eliminar el virus es bastante sencillo.

  1. Como primera medida, para no empeorar las cosas, es importante desconectar, apenas se descubre el problema, cualquier unidad de almacenamiento externo (discos, pendrives…) e incluso la red, especialmente si se maneja en un entorno que comparte archivos mediante unidades de red.
  2. Mediante el administrador de tareas (pulsando las teclas Windows + R tipeando luego en la ventana que aparece el comando taskmgr.exe), en la solapa Procesos dar click derecho sobre cualquier proceso desconocido/sospechoso y Finalizar tarea. Especial atención a los procesos con nombres alfanuméricos, aunque en uno de los casos tratados estaba disfrazado como svchost.exe, un proceso normal de Windows que es habitual además aparezca listado muchísimas veces.
  3. Haciendo uso de Hijackthis (o alguno similar), eliminar cualquier entrada tipo 04 (Run / Run Once / Global Startup) que haga referencia a Locky o svchost.exe (no confundir con las entradas tipo 023 en las que encontrarías decenas de svchost.exe legítimos del sistema!)
  4. En el panel de control, modificar las Opciones de Carpeta / Opciones del Explorador, para mostrar los archivos ocultos y desocultar los archivos protegidos de sistema.
  5. Buscar cualquier carpeta sospechosa y eliminarla. En las dos infecciones que traté el componente principal del virus parecia estar en la carpeta boostinterprocesses dentro de Program Data. Y esto me llamó particularmente la atención, especialmente porque se trataba en ambos casos de Windows XP y la carpeta Program Data recien apareció en Windows 7… Pero esta ubicación seguramente no es exclusiva porque la info ya disponible en la web indica muchísimas ubicaciones diferentes (carpetas c:\temp, %temp%, App Data\Local\[nombre alfanumérico aleatorio], …)
  6. Quitar el disco y conectarlo a un equipo sano y con un sistema operativo actualizado (No XP!!!!!) y lo mismo para el antivirus. Hacer desde esa computadora en examen completo del disco con su antivirus.
  7. Descargar MalwareBytes , instalarlo en este equipo limpio, esperar todas las actualizaciones y realizar un examen completo del disco afectado.
  8. Desactivar inmediatamente cualquier herramienta de sincronización en la nube: Google Drive Sync and BackUp, OneDrive, iCloud, DropBox, la que sea: cuando el virus ataca la carpeta de almacenamiento en tu PC, el motor de sincronización llevará la peste a la nube y la recuperación posterior puede complicarse mucho si no es que directamente se vuelve imposible.

Esto sería lo mínimo imprescindible como para salir adelante. Pero siendo que te quedará infinidad de basura encriptada y el virus parece bastante elaborado y mutante la mejor solución es, a mi entender, rescatar en un backup lo que no haya sido destruído, formatear y reinstalar todo desde cero.

Si todavía no te tocó, tené en cuenta que…

  1. No abras archivos adjuntos que no esperabas, de remitentes desconocidos o aún de súper conocidos y confiables que no hayas revisado antes con un buen antivirus. Si te infectaste, obviamente fallaste este punto. No importa lo que digas: vos sabés que te equivocaste feo…
  2. Desactivar los macros de Office por default y sólo ejecutarlos en archivos conocidos. Nunca permitir macros en un archivo adjunto a un correo o descargado de internet sin antes asegurarse en un 100% su confiabilidad.
  3. Realizar copias de seguridad diarias y mantener al menos una copia offline (en una unidad externa que, finalizado el backup, se desconecta del equipo) con la mayor frecuencia posible. El backup contenido en un disco conectado al equipo en el momento de la infección, probablemente tambien sea afectado.
  4. Mantener el sistema operativo constantemente actualizado. Si tu copia no original de Windows no admite actualizaciones, bueno… solucionalo ya.
  5. Windows XP ya no recibe actualizaciones de seguridad desde hace rato largo, estuvo en el mercado casi 20 años y los delincuentes lo pueden manipular como se les dé la gana. Si tus aplicaciones no toleran la actualización del sistema operativo buscá alternativas inmediatamente: basar tu empresa en un sistema antiguo te expone a daños irreparables.
  6. Cualquier antivirus conocido es bueno: Kaspersky, Panda, Avira, AVG, Avast, Norton, Microsoft, Eset… cada uno con sus ventajas y desventajas respecto al rendimiento de la computadora, precio, abuso de publicidades y ofertas en sus versiones gratuitas… pero elegí uno y mantenelo siempre actualizado. Está probado (de hecho por eso se origina el tema de esta nota) que ninguno es infalible y TODOS son vulnerables a las nuevas variantes de virus especialmente los primeros días de su aparición (zero-day), por lo que caemos de vuelta al punto 5: BACKUP. Nunca son suficientes. Lo que abunda no sobra.

Valga decir que, gracias a los imbéciles que pagan el rescate, este tipo de virus se hace cada vez más rentable para los delincuentes y vamos a convivir cada vez con más variedades, seguramente mejor elaboradas, más peligrosas y mucho más dañinas.

Backup. O alpiste…

 

 

 


    Buscar en JADM

    Biblioteca