La campaña de propagación de este ataque comienza con un falso correo que simula ser un fax enviado al usuario con un adjunto que posteriormente cifrará todos tus archivos.
El Laboratorio de Investigación de ESET Latinoamérica, reportó sobre múltiples denuncias sobre una campaña de propagación de códigos maliciosos cuyo objetivo es cifrar los archivos de sus víctimas y pedir un rescate en bitcoins para recuperar la información. Se trata de CTB-Locker, un ransomware que se propaga a través de un falso correo electrónico que dice contener un fax y que está generado un gran impacto en Latinoamérica.
La campaña de propagación de este ataque comienza con un falso correo electrónico que llega a la bandeja de entrada de los usuarios. El asunto del correo simula ser un fax enviado al usuario con un adjunto. Dicho fax fue detectado por la compañía como como Win32/TrojanDownloader.Elenoocka.A.
Los usuarios que ejecuten esta amenaza tendrán todos sus archivos cifrados ya que este malware descarga un ransomware conocido como Win32/FileCoder.DA, y se les exigirá pagar un rescate en bitcoins para recuperar su información.
El resultado es similar a CrytoLocker o TorrentLocker, los archivos con extensiones como mp4, .pem, .jpg, .doc, .cer, .db entre otros, son cifrados por una clave. Una vez que el malware terminó de cifrar la información del usuario mostrará por pantalla un cartel de alerta y además cambiará el fondo del escritorio.
Si bien el mensaje que ve la víctima afectada por este malware cuenta con traducción al alemán, holandés e italiano y no al español, el Laboratorio de ESET ha recibido un gran número de reportes de estas campañas de propagación en Latinoamérica.
Frente a esta amenaza existen ciertas medidas de seguridad que se recomiendan para usuarios y empresas:
· Habilitar las funcionalidades de filtrado de extensiones posiblemente maliciosas en las soluciones de seguridad para servidores de correos. Esto ayudará a bloquear archivos con extensiones .scr como el caso de Win32/TrojanDownloader.Elenoocka.A.
· Evitar abrir adjuntos de dudosa procedencia en correos que no se ha identificado el remitente
· Eliminar los correos o marcarlos como Spam para evitar que otros usuarios o empleados de la empresa se vean afectados por estas amenazas
· Mantener actualizadas las soluciones de seguridad para detectar las últimas amenazas que se están propagando.