Cabecera-v2-web.jpg

Campaña de distribución de Cryptowall afecta a Paraguay


Recientemente se ha observado un incremento importante de casos de CryptoWall, una variante de ransomware. El ransomware es un tipo de software malicioso (malware) que infecta un dispositivo y encripta los archivos y documentos de la máquina infectada, exigiendo el pago de un "rescate" para desencriptarlos. En el caso de CryptoWall, este rescate empieza siendo 500 US$, y va aumentando hasta llegar a 1000 US$.

Este aumento de casos se debe a una campaña de distribución de CryptoWall a través de correos electrónicos que fue detectada y que está afectando a una enorme cantidad de ciudadanos paraguayos, de diversos sectores: gobierno, industria, educación, PYMEs, etc.

El correo malicioso tiene como asunto una fecha y una hora, por ejemplo: "12/1/2015 6:16:21 AM‏". Los remitentes por lo general son desconocidos. Estos correos electrónicos contienen un archivo adjunto comprimido .zip, con diferentes nombres, por ejemplo: info.zip, img.zip, love.zip, etc. Estos archivos adjuntos contienen un archivo javascript que al ser abiertos se ejecutan de forma automática y descargan, ejecutan e instalan el ransomware Cryptowall. Una vez que se abrió el archivo adjunto, la máquina queda infectada por CryptoWall y los archivos que se encuentran en dicha máquina quedan automáticamente encriptados.



Cuando una persona queda infectada por CryptoWall, es frecuente que las personas de la libreta de direcciones almacenadas en la máquina, reciban también correos electrónicos maliciosos, agrandándose así­ el cí­rculo de personas afectadas.

Al quedar infectado por Cryptowall, inmediatamente aparece una alerta en pantalla alertando que los todos sus archivos se han cifrado y mostrando en pantalla las instrucciones para pagar el rescate y recuperar los archivos.


Debido a que CryptoWall utiliza mecanismos de encriptación robusta, no reversibles (RSA-2048), hasta el momento no existen mecanismos para desencriptar los archivos sin la clave que está en poder de los atacantes, causando la pérdida de los archivos.

Es por esto que las acciones preventivas son fundamentales:

  • No abrir nunca correos sospechosos, tanto si vienen de usuarios conocidos como desconocidos.
  • Evitar abrir archivos adjuntos sospechosos. Incluso los archivos aparentemente inofensivos, como los documentos de Microsoft Word o Excel, pueden contener un virus.
  • No ingresar a enlaces dudosos que le son enviados a través de correo electrónico, servicios de mensajerí­a, redes sociales, etc.
  • Realizar copias de seguridad (backup) de toda la información crí­tica para limitar el impacto de la pérdida de datos o del sistema y para facilitar el proceso de recuperación.
  • Contar con soluciones de antivirus y mantenerlo actualizado, de modo a prevenir la infección.
  • Mantener su sistema operativo y el software siempre actualizado, con los últimos parches.
  • No acceder nunca a ningún pago u acción exigida por el atacante.

Cuando un equipo fue infectado por un ransomware, es importante no modificarlo: no se debe eliminar archivos ni reinstalar el sistema operativo, hasta tanto se haya realizado un análisis detallado de la infección, que debe ser llevado a cabo por expertos en la materia. En caso de ví­ctima de ransomware se recomienda realizar la denuncia a los organismos correspondientes; puede reportarlo al Centro de respuestas ante Incidentes Cibernéticos (CERT-PY).

El CERT-PY ha elaborado un boletí­n informativo para conocer más acerca de CryptoWall y de la campaña de distribución que afecta a nuestro paí­s:

https://cert.gov.py/application/files/3614/4897/7853/Boletin_20151201_Campana_Cryptowall.pdf



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11