Os traemos un caso real de ataque de Cryptolocker, un ramsonware como el que ha atacado hoy a Movistar (Telefónica).
El jueves pasado, uno de nuestros clientes empezó su jornada laboral como siempre a las 8:30h de la mañana y poco después el departamento de contabilidad recibía un mail con asunto “su factura”.
El malware o software de encriptación de datos denominado Cryptolocker ataca de nuevo con mails y asunto “su factura”, “nuestro acuerdo”, “acuerdo comercial” o similares.
Al no conocer al emisor del mensaje, nuestro cliente comprobó el dominio de la dirección de e-mail y vio que era una tienda online relacionada con el sector, así que dedujo que le enviaban la factura de un pedido realizado por el departamento de compras.
Al abrir el mail, éste contenía un documento adjunto .doc (Word) que nuestro cliente abrió creyendo que era la factura pero estaba vacío sin ningún texto ni imagen. Al no ver nada en el documento, prosiguió con su operativa laboral diaria con la sorpresa de que, al cabo de nada, los iconos del escritorio empezaron a quedarse en blanco.
CÓMO SABER SI TIENES UN VIRUS CRYPTOLOCKER Y QUÉ HACER
Para saber rápidamente si tu ordenador está infectado con un malware de encriptación, tipo Cryptolocker, hay una señal inequívoca:
- Los iconos de los archivos en el escritorio aparecen en blanco.
- Al clicar en los iconos o acceder a las carpetas encriptadas aparecen dos archivos con el nombre “COMO_RESTAURAR_ARCHIVOS”.
Si este es tu caso NO SIGAS LEYENDO:
¡DESENCHUFA INMEDIATAMENTE EL ORDENADOR DE LA LUZ ELÉCTRICA!
Si abrieras los archivos con el nombre “COMO_RESTAURAR_ARCHIVOS” se abriría una ventana informando de que has sido infectado y cómo restaurar los archivos previo pago (=chantaje). Además, si intentaras acceder a un documento infectado el ordenador no reconocería el tipo de archivo.
LA IMPORTANCIA DE TENER UNA BUENA CONSULTORÍA TECNOLÓGICA
En el caso de nuestro cliente, en cuanto vio algo raro aplicó el protocolo de actuación que tenemos en JSM Consultoría Tecnológica: desenchufar el ordenador para evitar que el malware encripte más archivo y llamarnos urgentemente. Gracias a ello pudimos recuperar la información dañada de la forma menos traumática para la empresa.
Seguidamente nos personamos en la empresa y procedimos, en modo seguro, a ver hasta qué punto el virus había afectado a su información y pasamos a recuperar los documentos y carpetas infectados gracias al BACKUP PROFESIONAL EN LA NUBE que ésta tiene contratado con nosotros.
JSM Consultoría Tecnológica restauró los archivos infectados con la última copia de seguridad, efectuada en este caso a las 6am de ese mismo día, y recuperó toda la información en un tiempo estimado de 4h (debido a la cantidad de documentos afectados) sin tener que pagar al MALWARE CRYPTOLOCKER.
La responsable de administración perdió únicamente el trabajo realizado desde las 8:30h de la mañana (cuando abrió el mail y documento Word con el malware) hasta las 8:50h, momento en el que desenchufó su ordenador.
En este caso el MALWARE provenía de un servidor web de Turquía, pero el mail recibido con el software de encriptación lo enviaban bajo un dominio .es, de apariencia normal y del sector de la empresa afectada.