El Ramsonware de Correos
Hola a todos,
Aunque parezca raro, pero sólo tengo que decir ¡¡Ya me ha entrado a mi bandeja el correo del Ramsonware de Correos!! Así que antes de mandarlo a Correo no deseado e intentar reportarlo como contenedor de malware, voy a explicar como interceptar este tipo de correos y no caer en el engaño.
Para empezar, vamos a indentificar que es Ramsonware, que según la Wikipedia, indica que:
Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
Se hicieron populares en Rusia y su uso creció internacionalmente en junio del 2013. La empresa McAfee señaló que sólo en el primer trimestre del 2013 había detectado más de 250.000 tipos de ransomwares únicos
http://es.wikipedia.org/wiki/Ransomware
Si miro desde mi gestor de correos web el correo recibido, identifico parte de la cabecera que me va a indicar de que podría no ser el emisor que dice ser.
1.- El emisor (Que es español! Correos de España), no es capaz de procesar correctamente los acentos.
Las herramientas de traducción utilizadas, no entienden que CARTA es FEMENINO y que por lo tanto, es ENTREGADA y no ENTREGADO.
2.- El emisor, no concuerda con el dominio que indica, Correos, enviaría un correo (sabiendo mi dirección de correo electrónico), desde un dominio @correos.es, y no @sdacourier24.com.
Otra información a tener en cuenta, es que España va con nuestra queridísima Ñ, y que por lo tanto, vemos que tampoco procesa correctamente caracteres especiales de nuestro idioma.
Ahora si nos fijamos en el cuerpo del mensaje, observamos algunos fallos (unos más vistosos que otros):
1.- Este es el más difícil de identificar, pero si te fijas bien, verás que el fondo naranja es de 2 códigos diferentes:
– Naranja bajo las letras: #FFD015
– Naranja barra: #FDCF23
Se que identificar este caso es bastante difícil, pero si que se nota un poquito 😉
2.- Si nos envía el correo electrónico desde CORREOS, a cuanta de quien nos indican que no se ha procesado en COURIER, otra empresa de mensajería ¿Ahora se cambian los clientes? 🙂
3.- Volvemos otra vez a la rica lengua española que tenemos, ya que podemos ver que todos los acentos son cambiados por tildes, ya que no son capaces de tratarlas correctamente 😉
También tenemos que contar, que las expresiones utilizadas son muy «De traductor automático».
4.- Si situamos el ratón por encima de los LINKS que existen en la pagina web:
– Descargar información sobre su envío
– Haga click aqu’i para
Nos remite a la misma URL, que podemos observar al pie izquierdo de la web, y que es totalmente externa a correos o a cualquier sistema de acortamiento de URL tipo bit.ly.
Este es sólo un ejemplo, que por suerte, he podido tener para poder visualizarlo, pero al cabo del día, se envían una gran cantidad de correos electrónicos que lo único que persiguen es conseguir hacerse con el control del vuestro equipo, para unirlo a una red de Bots, secuestrar ficheros, etc….
P.D.: Si habéis sido afectados por este ramsonware o por el Virus de la Policía, y es un equipo de una empresa, deberéis dirigiros a generar una denuncia por secuestro de datos, identificar los datos afectados (para efectos de LOPD), y sobre todo, no realizar el pago del dicho secuestro, ya que en ese momento, podrían denunciarnos por cohecho y/o complicidad.
Espero que a raíz de esta entrada, cuando recibáis un correo que no estáis esperando, seáis capaces de poder identificarlo como legítimo o SPAM, después de haber leído esto.
Puedes ejecutarlo en un entorno controlado para ver qué hace exactamente?
Hola Jorge,
No lo voy a ejecutar, pero las acciones que realizará el RamsonWare serán:
– Encriptar todos los ficheros ofimáticos que tengas en el PC
– Encriptar todos los ficheros ofimáticos que tengas en unidades de red (y que esten accesibles)
– Encriptar todos los ficheros de imágen y video. En las mismas ubicaciones que los anteriores.
Posteriormente, recibes una notificación por pantalla y/o correo electrónico, en el que indica que tienes que pagar una cierta cantidad (300€ aprox.), desde la red TOR, y que envíes uno de los ficheros encriptados, para extraer el PKI (clave privada) y poder desencriptar todos los ficheros encriptados.
Tal y como comento en la entrada, no pagar y dirigirse a la Policia para denunciar el caso. Intentar recuperar la información desde copias de seguridad y al sistema operativo, reinstalarlo y protegerlo.
Un Saludo,
Hola,
Yo también recibí ese correo y sin darme cuenta di click (dos veces) al dichoso link. La cuestión es que trabajo con mac y el mensaje que me pone es que tengo que es incompatible y que debería abrirlo con un PC, qué ganas de dar guerra, de verdad.
Despistada perdida pensé que era real hasta que me di cuenta de sus faltas de ortografía.
En fin, espero que al trabajar con este sistema operativo no me cause ningún daño.
Gracias por tu post, me ayudó muchísimo.
Un saludo,
Gracias por el feedback, aunque tendrás que tener más cuidado, ya que los autores de estos ataques van ha seguir creando herramientas que pueda infectar a cualquier sistema, tanto sea Mac, Windows, IOS, Android, WindowsPhone, etc…
Un Saludo y gracias por leerme